卡巴斯基研究人员对Windows、Mac OS、Linux平台下的FinSpy间谍软件及其安装程序引入的所有最新更新进行了全面调查。这项研究历时8个月完成，发现了这种间谍软件开发者所使用的四层混淆和高级反分析手段，还发现该恶意软件使用UEFI bootkit来感染受害者。这些发现表明其规避性防御能力很强，使得FinFisher成为迄今为止最难检测的间谍软件之一。

FinFisher（又被称为FinSpy或Wingbird）是一款监视工具，卡巴斯基自2011年以来一直在追踪它。该间谍软件能够收集各种凭证、文件列表和已删除文件，还有各种文件、直播或记录数据，并获得对网络摄像头和麦克风的访问。FinFisher的Windows植入物曾多次被检测和研究，直到2018年，其似乎消失在我们的视线中。

之后，卡巴斯基解决方案检测到多个可疑的合法应用程序的安装程序，例如TeamViewer、VLC Media Player和WinRAR，这些安装程序中包含恶意代码，并且与所有已知的恶意软件都没有关联。直到有一天，研究人员在缅甸发现了一个网站，其中包含受感染的安装程序和FinFisher 的安卓样本，帮助确定这些是木马化的同一个间谍软件。这一发现促使卡巴斯基研究人员进一步调查FinFisher。

与之前的间谍软件版本不同，之前版本的间谍软件会立刻在受感染的应用程序中包含木马，而新样本则受到两个组件的保护：分别为持久预验证器和后验证器。第一个组件会进行多次安全检查，确保被感染的设备不属于安全研究人员。只有当第一个检查通过后，服务器才会提供后验证器组件——该组件确保受感染的受害者是预期的受害者。只有这样，服务器才会命令部署完整的木马平台。

FinFisher使用四个复杂的定制混淆器进行了重度的混淆。这些混淆的主要功能是拖慢对这种间谍软件的分析速度。此外，该木马还采用了独特的方式来收集信息。例如，它使用浏览器的开发者模式来截获受HTTPS协议保护的流量。

计划任务属性实例

研究人员还发现一个FinFisher样本替换了Windows UEFI 引导程序——这是一个在固件启动后启用操作系统的组件，也可以用来启动恶意软件。这种感染方式使攻击者无需绕过固件安全检查就能安装一个bootkit。UEFI感染很罕见，通常很难实施， 其规避性和持久性非常突出。在本案例中，攻击者并没有感染UEFI固件本身，而是它的下一个启动阶段，这种攻击非常隐蔽，因为恶意模块被安装在一个单独的分区，可以控制被感染机器的启动过程。

“为了使安全研究人员无法发现FinFisher而投入的大量工作特别令人担忧，也令人印象深刻。看起来这款间谍软件的开发者在混淆和反分析措施方面所做的工作至少与木马程序本身一样多。也因此，其躲避检测和分析的能力使得该间谍软件很难被追踪和检测到。这种间谍软件的部署非常精确，而且几乎不可能对其进行分析，这也意味着其受害者特别危险，研究人员面临一个特殊的挑战——必须投入大量资源来破解每个样本。我们认为像FinFisher这样的复杂威胁表明了安全研究人员进行合作并交流知识，同时投资能够应对此类威胁的新型安全解决方案的重要性，”卡巴斯基全球研究和分析团队（GReAT）收集安全研究员Igor Kuznetsov评论说。

有关FinFisher的完整报告请参见Securelist.

为了保护自身免受FinFisher这类威胁的侵害，卡巴斯基建议：

从受信任的网站下载您所使用的应用和程序。

不要忘记定期更新您的操作系统和所有软件。很多安全问题能够通过安装更新版的软件来解决。

默认情况下，不要信任电子邮件的附件。在点击打开附件或点击链接之前，请仔细考虑：这些邮件是否来自您认识和信任的人；您是否正在等待这些邮件；它们是安全的吗？将鼠标放到这些链接或附件上，查看它们的名称或重定向到的真实地址。

避免从未知来源安装软件。因为这些来源可能并且经常会包含恶意文件。

为所有的计算机和移动设备都使用强大的安全解决方案，例如卡巴斯基安全软件安卓版或卡巴斯基全方位安全。

对于企业和阻止的保护，卡巴斯基建议：

制定一个非公司软件使用政策。教育您的员工了解从不受信任的来源下载未经授权的应用程序存在的风险。

为您的员工提供基础网络安全卫生培训，因为很多针对性攻击都是从钓鱼攻击或其他社交工程手段开始的。

安装反APT和EDR解决方案，增加威胁发现和检测、调查以及及时修复事故的能力。为您的SOC团队提供最新的威胁情报，并对他们定期进行专业技能培训。所有上述服务都可通过卡巴斯基安全框架获取。

除了正确的端点保护之外，专门的服务可以帮助应对高调的攻击。卡巴斯基管理检测和响应服务能够帮助在攻击者实现攻击目标之前，在早期阶段识别和拦截攻击。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

责任编辑：kj005