迄今最嚴重的國家監控行為可能出現了：ISP也是幫凶

E安全9月23日訊 目前，全球多國政府及相關機構已經開始利用臭名昭著的間諜軟體FiniFisher（又稱FinSpy）掀起新一波監控浪潮。除了在技術層面有所改進之外，其部分變種還開始採用一種更為狡猾且此前從未出現過的感染載體——已經有諸多線索表明，各大主要互聯網服務供應商（簡稱ISP）有可能參與其中。

FinFisher 具備一系列間諜功能，包括通過網路攝像頭與麥克風實施實時監控、記錄鍵盤輸入內容以及文件提取等。

但FinFisher與其它監控工具之間最大的區別仍然在於其部署方式。FinFisher實際上是作為一款執法工具進行宣傳的，而且行業人士認為相當一部分專制政權都在利用其鞏固自身統治。

維基解密曝光用Finfisher惡意軟體來窺探其公民的國家

目前已經在使用Finfisher惡意軟體的其中七個國家發現了FinFisher的最新變種。

Finfisher感染目標方式多樣

已知FinFisher利用到多種感染機制，其中包括魚叉式釣魚、以物理方式訪問設備並進行手動安裝、零日漏洞利用以及水坑攻擊（預先感染目標可能訪問的網站），目前已經發現有攻擊者利用這種方式傳播FinFisher移動版。

而作為一類更令人頭痛的新問題，本輪攻擊浪潮中攻擊者開始使用中間人攻擊方式——其中的中間「人」很可能身處互聯網服務供應商的運營層級。

研究人員已經通過ESET系統檢測到有兩個國家利用這種方式傳播FinFisher間諜軟體，但在其它的五個國家中，FinFisher仍然依賴於傳統感染載體。

目前，在用戶（被監控目標）下載幾款熱門的合法應用時，會被重新定向至感染有FinFisher的應用版本處。被用於傳播FinFisher的具體應用包括WhatsApp、Skype、Avast、WinRAR以及VLC Player等等。更值得一提的是，幾乎任何一種應用程序都可以通過這種方式進行濫用。

當用戶在合法網站上搜索某一款應用程序（已被感染）並點擊對應下載鏈接時，其瀏覽器會遭到鏈接修改，並將用戶請求重定向至攻擊者在伺服器上託管的「有馬」安裝包處，FinFIsher間諜軟體將與合法應用綁定在一起一併下載和執行。

圖一：最新FinFisher變種的感染機制

為了實現重定向，攻擊者需要利用惡意鏈接替換原本的合法下載鏈接。該惡意鏈接會通過HTTP 307（伺服器響應文檔的狀態碼）臨時重定向狀態響應代碼影響用戶的瀏覽器，不過整個重新定向流程會在用戶不知情的狀態下發生。

圖二：最新FinFisher變種的具體感染機制

FinFisher的這套最新版本在技術層面亦有所提升，其作者也更為關注隱匿能力。這款間諜軟體利用定製化代碼虛擬化機制保護自身大部分組件，包括其中的內核模式驅動程序。另外，整體代碼皆擁有反解析技術。我們還在這款間諜軟體中發現了大量反沙箱、反調試、反虛擬化以及反模擬等技術手段。這一切都令分析工作變得更為複雜。

研究人員在克服了首層保護機制（防反彙編）後，接下來還有代碼虛擬化層等著。其虛擬機調度器擁有34款處理程序，且該間諜軟體幾乎完全立足解釋器執行，這進一步增加了分析工作的處理難度。

圖三：大量虛擬機處理程序令代碼分析變得更加複雜

研究人員表示將在之後的白皮書當中對這款FinFisher的最新變種作出更為詳細的技術分析。

在對最新的攻擊活動進行分析時，研究人員發現了一種有趣的現象：FinFisher間諜軟體會被偽裝成一個名為「Threema」的可執行文件。此類文件常見於關注隱私的用戶群體當中，因為合法的Threema應用程序負責通過端到端加密機制提供即時消息安全保護。但諷刺的是，被詐騙下載並運行該受感染文件的隱私用戶反而會因此受到攻擊者的窺探。

除了這種端到端通信工具，攻擊者還為那些打算搜索加密軟體的用戶準備了其它「特別驚喜」。在研究當中，我們亦發現一個TrueCrypt安裝文件，這款曾經紅極一時的磁碟加密軟體同樣被植入了FinFisher木馬。

ISP或在支持FinFisher傳播

前文提到，攻擊者開始使用中間人攻擊方式——其中的中間「人」很可能身處互聯網服務供應商的運營層級。從技術角度來看，此類中間人攻擊活動里的中間「人」很可能位於從目標計算機到合法伺服器線路當中的任意位置（例如被入侵的Wi-Fi熱點）。然而根據ESET系統的最新檢測結果，FinFisher變種的地理分布情況表明，相關中間人攻擊發生在更高層級——這意味著其很可能得到了互聯網服務供應商的支持。

這樣的假設也得到了其它一些事實的支持：

• 首先，根據維基解密發布的內部泄露情報，FinFisher開發者提供了一款名為「FinFly ISP」的解決方案，其能夠部署在互聯網服務供應商網路上，從而執行以上提到的中間人攻擊行為。

• 第二，兩個受影響國家都遭遇到同樣的感染技術（即利用HTTP 307進行重定向）——除非由相同來源所開發及/或提供，否則不可能使用完全相同的技術手段。

• 第三，單一國家內全部受感染目標都使用同一家互聯網服務供應商。

• 最後，至少已經有一個受影響國家的互聯網服務供應商使用同樣的重定向方法與格式進行互聯網內容過濾。

此前流出文件內關於互聯網服務供應商及中間人攻擊的部署事宜從未得到披露，但如今我們終於得以一窺真相。

如果消息最終得到確認，那麼FinFIsher攻擊活動將代表著一個在複雜度與隱蔽性層面達到全新歷史高度的監控項目，其監控手段、監控範圍都讓人「震驚」。

如何自查？

所有ESET產品都能夠檢測並阻止Win32/FinSpy.AA以及Win32/FinSpy.AB威脅。用戶可以利用ESET的免費在線掃描工具檢查計算機是否受到感染。如果已經受到感染，請及時進行清除。

另外，已經安裝了ESET產品的用戶將自動受到保護。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！