ESPecter はバックドアから侵入し、従来のウイルス対策ソリューションを迂回します。 ESET の研究者は、新しい形式の UEFI マルウェアを発見しました。 マルウェアの新しい亜種は、EFI システム パーティション (ESP) に巣を作ります。
ESPecter を使用して、ヨーロッパの IT セキュリティ メーカーの専門家は、いわゆる UEFI ブート キットを発見しました。これは、Windows ドライバーの署名をバイパスし、独自の署名されていないドライバーをロードできるため、スパイ活動がはるかに簡単になります。 現在のブートキットは、ESET によって以前に発見された UEFI マルウェアをさらに発展させたものです。 統合された UEFI スキャナーを備えた ESET セキュリティ ソリューションは、個人および企業のコンピューターをこの潜在的な脆弱性から保護します。
ESPecter は 2012 年から活動しています
「ESPecter のルーツを 2012 年までさかのぼることができました。 以前は、古い BIOS を搭載したシステムにスパイ プログラムが使用されていました。 長い間存在していたにもかかわらず、ESPecter とその操作、および UEFI へのアップグレードは、長い間注目されていませんでした。
以前にすでに使用されていた同様のバリアント
ESPecter は、侵害されたマシンで、キーロギングおよびドキュメント盗用機能とともに発見されました。 このため、ESET の研究者は、ESPecter が主にスパイ目的で使用されていると想定しています。 ESET テレメトリを使用して、ESET の研究者は、このブートキットの始まりを少なくとも 2012 年までさかのぼることができました。 興味深いのは、マルウェアのコンポーネントが何年にもわたってほとんど変わっていないことです。 2012 年版と 2020 年版の違いは、予想されるほど大きくはありません。 かなり小さな変更を何年も続けた後、ESPecter の背後にいる開発者は、マルウェアを従来の BIOS システムから最新の UEFI システムに切り替えることを決定したようです。
UEFI ブートキットから保護するためのヒント
「ESspecter は、マルウェアの背後にいる開発者が UEFI ファームウェアのネストに依存しており、既存のセキュリティ メカニズムにもかかわらず実行していることを示しています。 UEFI セキュア ブートを使用すると、このような手法を簡単にブロックできます」と Martin Smolár 氏は続けます。 ESPecter や同様の脅威から保護するために、ESET はユーザーに次の簡単なルールに従うことをお勧めします。
- 常に最新のファームウェア バージョンを使用してください。
- システムが正しく構成され、セキュア ブートが有効になっていることを確認します。
- 企業内で Privileged Account Management (PAM) を構成して、攻撃者がブートキットのインストールに必要な特権アカウントにアクセスできないようにします。
UEFI スキャナーでセキュリティ ソリューションを使用すると、このような脅威からも保護されます。 ESET のエンタープライズおよびホーム エンドポイント セキュリティ ソリューションには、デフォルトでこのテクノロジが組み込まれています。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。