шпионски софтуер FinFisher може най-накрая да бъде разбит, смятат изследователите

[Vaxert]

шпионски софтуер FinFisher, който се използва широко в тайни кампании за наблюдение, особено срещу политическа опозиция, скоро може да се срине, смятат изследователите.

Шпионският софтуер е създаден през 2010 г., но изследователите  рядко са имали възможността да го дискотирът напълно или да извлекат сървърни информации C & C, благодарение на разширените функции за  и виртуализация, въведени от създателите на FinFisher, са се постарали по-трудно да се анализира.

Причината за това, че шпионският софтуер е толкова напреднал, че неговите създатели са спечелили милиони през годините, като го продават на  правителства, които биха могли да си го позволят. Получената печалба беше използвана за предоставяне на шпионския софтуер с най-новите анти-аналитични мерки, като по този начин разочарова изследователите по сигурността, които искат да извлекат кода му

Междувременно шпионският софтуер се използва за извършване на редица тайни операции, включително наблюдение на живо с помощта на уеб камери и микрофони,  и извличане на файлове. Шпионският софтуер също намери своя път в устройствата чрез ръчни инсталации с физически достъп до устройства, копиране на електронни писма и съобщения така и за дупки в уебсайтовете, за да заразят хиляди хора, които ги посещават

Изследователи в ESET обаче вярват, че най-накрая могат да пробият шпионския софтуер, който се е отклонил от изследователите през по-голямата част от последното десетилетие.

 

"Фирмата, която стои зад FinFisher, е изградила милион долара бизнес около този шпионски софтуер - затова не е изненада, че те полагат много по-големи усилия да се скрият от повечето обикновени кибер престъпници. Нашата цел е да помогнем на нашите колеги да анализират FinFisher и по този начин да защитят потребителите от тази заплаха ", каза Филип Кафка,  анализатор в ESET.

"С огромните си ресурси,  FinFisher ще получи още по-добри антианалитични характеристики. Очаквам обаче допълнителните им мерки да струват повече, за да се изпълнят, като в същото време ще бъде по-лесно да се справим за следващия път ", добави той.

Изледователите които бяха освободени от работа за да помогнат на други анализатори на злонамерен софтуер, да преодолеят усъвършенстваните функционалности за премахване на виртуализацията  на FinFisher, те написаха, че създателите на FinFisher са използвали специален трик против отнемането и пробива на системата (кода), чрез който скриват потока на изпълнение, като заменят два безусловен скока към едно и също място, което отвлича вниманието на анализаторите.

Макар че тази техника често се използва и в други злонамерени програми, това, което прави FinFisher уникален е, че използва този трик след всяка една инструкция, като по този начин създава уникален лабиринт, почти невъзможен за анализ.

 

За да открият пътя около този трик, изследователите изолираха всеки условен скок и ги анализираха отделно. С помощта на софтуер, наречен IDA Pro, те създадоха графики за всеки скок и ги изучаваха, за да разделят безусловните скокове. Изследователите преминават към ефективно анализиране на виртуалната машина, като по този начин се приближават до реалния полезен код. Можете да прочетете подробно описание на операцията тук.

Остава да се види дали изследователите ще могат ефективно да извлекат кода на FinFisher или да проследят своите C & C сървъри в близко бъдеще. Но първата реална стъпка е предприета и това трябва да помогне на изследователите по целия свят да декодират мощния шпионски софтуер, който ги е избягвал от години.