老牌间谍程式FinSpy透过UEFI恶意固件启动器，植入Windows电脑

透过植入电脑固件的方式，使得恶意软件能持久在受害电脑上运作，而凭借这样的攻击手法，骇客过往大多针对旧型电脑样硬盘的主要启动磁区（MBR），最近有一些开发恶意软件的人士，也打造能在统一可延伸固件界面（UEFI）运作的工具，用于间谍软件的攻击行动。

例如， 资安业者卡巴斯基于9月30日揭露，恶名昭彰的间谍软件FinSpy（又被称为FinFisher或Wingbird）当中，开始纳入UEFI恶意启动工具（Bootkit），使得攻击行动更加的隐密而不易被察觉。

FinSpy是由德国监控器材业者Gamma开发的谍软件，该公司将其销售给全球-机关。而这款间谍软件，最早约于2011年，被发现用于攻击行动，而攻击者散布它的方式，多半是经由独立安装程式。

攻击者一旦利用FinSpy，可窃取受害电脑的各种资料，像是操作系统资讯、浏览器与VPN的帐密、搜寻历史记录，以及Wi-Fi的密码等等。

攻击者首度运用UEFI恶意启动工具

但卡巴斯基在2018年开始，发现Windows版FinSpy的侦测比率下降，而这种反常的现象引起研究人员的好奇。

直到他们在2019年中旬才找到答案，因为他们研究Android版FinSpy攻击程式之际，发现骇客在部署该程式前，还有第一阶段的攻击程式存在，所以，进而找到先前攻击者的活动轨迹——在Windows版本FinSpy运用恶意UEFI恶意启动工具的行为。

虽然这次卡巴斯基主要分析的是Windows版FinSpy，但他们指出，Linux与macOS版本FinSpy的程式码架构，也与Windows版本的非常相似。

这个UEFI恶意启动工具究竟如何运作？研究人员表示，他们看到感染这个启动工具的电脑，该工具会将Windows开机管理员档案（bootmgfw.efi），更换为恶意档案。

上述的UEFI恶意启动工具，存放在电脑启动器资料夹里，置入Winlogon Injector、Trojan Loader等2个档案，这些档案都由RC4算法加密，解密金钥是EFI系统磁区（ESP）的全域唯一识别码（GUID），每台受害电脑的解密金钥都不同。

等到使用者登入操作系统，UEFI恶意启动工具就将Trojan Loader注入EXE档案，该木马载入器便会载入FinSpy。

亦能对MBR下手

而对于不支援UEFI的电脑，研究人员指出，攻击者还是可以透过MBR植入FinSpy。

针对使用MBR开机的电脑，FinSpy则是以相当迂回的方式，将程式码注入winlogon.exe，使得潜入流程较攻击UEFI更加复杂──先是在可执行档内，建立Trampoline Shellcode执行序，此Shellcode再将执行序复制、转移到档案总管，并注入另一个Trampoline Shellcode，最后，这个新的Shellcode，把Trojan Loader注入winlogon.exe，载入FinSpy。

除了上述提及锁定电脑固件的手法， 骇客还是会透过具有合法签章的应用程序， 如TeamViewer、WinRAR等，来挟带FinSpy，并诱骗使用者下载安装。