FinFisherには、キーロギングとファイル盗難機能だけでなく、幅広いWebカメラとマイク追跡機能があります。 FinFisherを他の追跡ツールと区別するのは、その実装に関する矛盾する情報です。 FinFisherは法執行ツールとして位置付けられており、独裁政権によって使用されていると考えられています。 7か国で最新のFinFisherバージョンを見つけました。 残念ながら、誰も危険にさらさないように名前を付けることはできません。
標的感染
FinFisherキャンペーンでは、標的型フィッシング、デバイスへの物理的アクセスを伴う手動インストール、 ゼロデイ脆弱性、水飲み場攻撃など、さまざまな感染メカニズムが使用されます-潜在的な被害者が訪問したと思われるサイトの感染
最近のFinFisherキャンペーンで新しく最も不穏なのは、指定された「男」がインターネットプロバイダーのレベルにいる可能性が最も高い中間者スキームの出現です。 FinFisherの最新バージョンが検出された2つの国でこのベクターの使用を見ました(他の5つの国では、従来の感染ベクターが使用されています)。
ユーザー(追跡オブジェクト)が人気のある正当なアプリケーションの1つをダウンロードしようとすると、FinFisherに感染したプログラムのバージョンにリダイレクトされます。 WhatsApp、Skype、Avast、WinRAR、VLC Player、およびその他のプログラムのトロイの木馬バージョンを見ました。 理論的には、この方法で正当なアプリケーションを使用できることに注意することが重要です。
ユーザーが正当なサイトで言及されたアプリケーションの1つを検索すると、攻撃が開始されます。 ダウンロードリンクをクリックすると、ブラウザは変更されたリンクを受け取り、攻撃者のサーバーにあるトロイの木馬化されたインストーラーにリダイレクトします。 ダウンロードして実行すると、正当なアプリケーションがユーザーのデバイスに表示されるだけでなく、FinFisherスパイウェアも表示されます。
図1. FinFisherの最新バージョンによる感染のメカニズム
リダイレクトは、悪意のある正当なリンクを置き換えることにより実行されます。
変更された悪意のあるリンクは、HTTP 307一時リダイレクトリダイレクトステータスの応答コードを使用してユーザーのブラウザに配信されます(要求されたコンテンツは一時的に新しいアドレスに移動されます)。 転送プロセスはユーザーには見えません。
図2.感染メカニズムの詳細な説明
FinFisher:見えないところで作業する
FinFisherの最新バージョンは技術的に改善されており、著者はステルスの提供に焦点を合わせています。 スパイウェアは、カスタムコード仮想化を使用して、カーネルモードドライバーを含むほとんどのコンポーネントを保護します。 さらに、コードは逆アセンブリー手法を提供します。 FinFisherで、アンチデバッグ、アンチエミュレーション、アンチバーチャライゼーションの手法を発見しました。
最初のレベルの保護(逆アセンブリ)を克服した後、次のレベルはコードの仮想化です。 仮想マシンマネージャー34のハンドラー。 ほとんどすべてのスパイウェアの実行はインタープリターで実行されます。これにより、分析中に対処する必要がある別のレベルの保護が追加されます。
図3.コード分析を困難にする多数のハンドラーの視覚化
次のレポートでは、FinFisherの最新バージョンのより詳細な技術分析を示します。
プライバシーに関心のあるユーザーへの特別なアプローチ
最近のキャンペーンを分析したところ、興味深いサンプルが見つかりました。FinFisherは、Threemaという実行可能ファイルに偽装しています。 プライバシーの問題を心配しているユーザーを攻撃するために使用できます-正当なThreemaアプリケーションは、エンドツーエンドの暗号化を備えた安全なインスタントメッセージングを提供します。 機密性を求めるユーザーが自分の手でファイルをアップロードし、追跡プロセスを開始するという事実には、ある種の皮肉があります。
暗号化に関心のあるユーザーへの重点は、メッセンジャーに限定されません。 調査の過程で、かつて非常に人気のあったTrueCryptディスク暗号化ソフトウェアで、FinFisherに感染したインストールファイルが見つかりました。
中間者とは誰ですか?
技術的には、標的のコンピューターから正当なサーバーへのパスのいずれかの段階で中間者が攻撃に関与していると想定できます(オプションとして、これは侵害されたWi-Fiポイントである可能性があります)。 ただし、ESETによって発見された最新のFinFisherバージョンの地理的分布は、MitM攻撃がより高いレベルにあることを示唆しており、最も可能性の高いオプションはインターネットサービスプロバイダー(ISP)の参加です。
この仮定は多くの事実を裏付けています。 第一に、 WikiLeaksが公開した資料によると、FinFisherは、MitM攻撃に必要な機能と同様の機能を備えたISPネットワークに展開するためのFinFly ISPと呼ばれるソリューションを開発しました。 第二に、感染方法(HTTP 307リダイレクト)は、感染が発生した両国で同じ方法で適用されます。 これらのスキームが異なるソースによって設計および/または提供されることはほとんどありません。 第三に、国内でヒットしたすべてのターゲットは、1つのインターネットプロバイダーのサービスを使用しています。 最後に、これらの少なくとも1つの国でインターネットコンテンツをフィルタリングするために、プロバイダーは同じ転送方法と形式を使用します。
ネットワークにリークされたドキュメントに記載されているプロバイダーレベルでのMitMテクノロジーの使用は、今日までまだ見つかっていません。 この情報が確認された場合、FinFisherを使用した新しい攻撃は、サイバースパイ活動の新しい、前例のない手法、方法、およびカバレッジの始まりです。
私のコンピューターは感染していますか?
すべてのESET製品は、この脅威をWin32 / FinSpy.AAおよびWin32 / FinSpy.ABとして検出およびブロックします。 ESET Online Scannerを使用して、コンピュータをスキャンして脅威を検出し、検出されたときに削除できます。 ESETユーザーは自動的に保護されます。
侵害インジケータ
ESETディスカバリー名:
Win32 / FinSpy.AA
Win32 / FinSpy.AB
コール転送:
HTTP / 1.1 307一時的なリダイレクト\ r \ n場所:\ r \ n接続:閉じる\ r \ n \ r \ n
調査中に見つかったURLのリスト:
hxxp://108.61.165.27/setup/TrueCrypt-7.2.rar
hxxp://download.downloading.shop/pcdownload.php?a=dad2f8ed616d2bfe2e9320a821f0ee39
hxxp://download.downloading.shop/pcdownload.php?a=84619b1b3dc8266bc8878d2478168baa
hxxp://download.downloading.shop/pcdownload.php?a=ddba855c17da36d61bcab45b042884be
hxxp://download.downloading.shop/pcdownload.php?a=d16ef6194a95d4c8324c2e6673be7352
hxxp://download.downloading.shop/pcdownload.php?a=95207e8f706510116847d39c32415d98
hxxp://download.downloading.shop/pcdownload.php?a=43f02726664a3b30e20e39eb866fb1f8
hxxp://download.downloading.shop/pcdownload.php?a=cb858365d08ebfb029083d9e4dcf57c2
hxxp://download.downloading.shop/pcdownload.php?a=8f8383592ba080b81e45a8913a360b27
hxxp://download.downloading.shop/pcdownload.php?a=e916ba5c43e3dd6adb0d835947576123
hxxp://download.downloading.shop/pcdownload.php?a=96362220acc8190dcd5323437d513215
hxxp://download.downloading.shop/pcdownload.php?a=84162502fa8a838943bd82dc936f1459
hxxp://download.downloading.shop/pcdownload.php?a=974b73ee3c206283b6ee4e170551d1f7
hxxp://download.downloading.shop/pcdownload.php?a=cd32a3477c67defde88ce8929014573d
hxxp://download.downloading.shop/pcdownload.php?a=36a5c94ffd487ccd60c9b0db4ae822cf
hxxp://download.downloading.shop/pcdownload.php?a=0ebb764617253fab56d2dd49b0830914
hxxp://download.downloading.shop/pcdownload.php?a=f35e058c83bc0ae6e6c4dffa82f5f7e7
hxxp://download.downloading.shop/pcdownload.php?a=64f09230fd56149307b35e9665c6fe4c
hxxp://download.downloading.shop/pcdownload.php?a=b3cc01341cb00d91bcc7d2b38cedc064
hxxp://download.downloading.shop/pcdownload.php?a=5fc0440e395125bd9d4c318935a6b2b0
hxxp://download.downloading.shop/pcdownload.php?a=5ca93ad295c9bce5e083faab2e2ac97a
hxxp://download.downloading.shop/pcdownload.php?a=f761984bb5803640aff60b9bc2e53db7
hxxp://download.downloading.shop/pcdownload.php?a=5ca93ad295c9bce5e083faab2e2ac97a
hxxp://download.downloading.shop/pcdownload.php?a=514893fa5f3f4e899d2e89e1c59096f3
hxxp://download.downloading.shop/pcdownload.php?a=a700af6b8a49f0e1a91c48508894a47c
hxxp://download.downloading.shop/pcdownload.php?a=36a5c94ffd487ccd60c9b0db4ae822cf
hxxp://download.downloading.shop/pcdownload.php?a=a700af6b8a49f0e1a91c48508894a47c
hxxp://download.downloading.shop/pcdownload.php?a=395ce676d1ebc1048004daad855fb3c4
hxxp://download.downloading.shop/pcdownload.php?a=cd32a3477c67defde88ce8929014573d
hxxp://download.downloading.shop/pcdownload.php?a=49d6d828308e99fede1f79f82df797e9
hxxp://download.downloading.shop/pcdownload.php?a=d16ef6194a95d4c8324c2e6673be7352
サンプル(SHA-1)
ca08793c08b1344ca67dc339a0fb45e06bdf3e2f
417072b246af74647897978902f7d903562e0f6f
c4d1fb784fcd252d13058dbb947645a902fc8935
e3f183e67c818f4e693b69748962eecda53f7f88
d9294b86b3976ddf89b66b8051ccf98cfae2e312
a6d14b104744188f80c6c6b368b589e0bd361607
417072b246af74647897978902f7d903562e0f6f
f82d18656341793c0a6b9204a68605232f0c39e7
df76eda3c1f9005fb392a637381db39cceb2e6a8
5f51084a4b81b40a8fcf485b0808f97ba3b0f6af
4b41f36da7e5bc1353d4077c3b7ef945ddd09130
1098ba4f3da4795f25715ce74c556e3f9dac61fc
d3c65377d39e97ab019f7f00458036ee0c7509a7
c0ad9c242c533effd50b51e94874514a5b9f2219
a16ef7d96a72a24e2a645d5e3758c7d8e6469a55
c33fe4c286845a175ee0d83db6d234fe24dd2864
cfa8fb7c9c3737a8a525562853659b1e0b4d1ba8
9fc71853d3e6ac843bd36ce9297e398507e5b2bd
66eccea3e8901f6d5151b49bca53c126f086e437
400e4f843ff93df95145554b2d574a9abf24653f
fb4a4143d4f32b0af4c2f6f59c8d91504d670b41
f326479a4aacc2aaf86b364b78ed5b1b0def1fbe
275e76fc462b865fe1af32f5f15b41a37496dd97
df4b8c4b485d916c3cadd963f91f7fa9f509723f