ISP 是否参与 FinFisher 监视活动?

FinFisher 是一种臭名昭著的间谍软件,也被称为“FinSpy”。 该技术过去曾出售给政府以及国际上的其他机构。 该间谍软件可以通过网络摄像头过滤实时视频,通过麦克风过滤音频,甚至可以执行键盘记录和其他文件记录技术。 许多人认为 Finfisher 被专制政权使用,在某些情况下被警察使用。 但是,现在看来 FinFisher 可能会在 ISP 级别实现。

那么 FinFisher 是怎样上电脑的呢? 好吧,有各种“感染”方法,例如鱼叉式网络钓鱼(电子邮件诈骗)、通过物理访问手动安装、0-day 漏洞利用(供应商未知的软件错误)和水坑攻击(黑客找到特定目标群体使用的服务/网站和感染了恶意软件)。

虽然所有 FinFisher 感染方法都令人担忧,但最令人担忧的方法是通过中间人攻击。 在这种情况下,中间的“人”可能是互联网服务提供商。 这种方法已在两个已知受感染的 FinFisher 国家中被 ESET 观察到,ESET 是一家备受尊敬的 IT 公司,专门从事防病毒和防火墙产品(其他 5 个使用上面列出的传统感染方法)。

FinFisher 怎样通过 MITM 攻击工作?

它的工作方式非常强大且具有侵入性。 一 example 可能是用户登录到他们的计算机,打开浏览器,尝试下载文件,只是被重定向到他们然后下载的另一个程序。

重定向是通过通过 HTTP 307 临时重定向向浏览器提供链接来实现的,该重定向指示内容已被移动到新的 URL,但是整个过程对用户来说是不可见的。 在这种情况下,重定向是从据称涉及的互联网服务提供商的主机计算机的互联网源操作的。 该文件(如果下载)是由 ISP 托管的木马安装包。

该文件不仅安装了要下载的应用程序,而且还安装了使最终用户难以检测到的恶意文件。 这不需要其他形式的感染方法,这使得这种方法甚至能够误导和捕获最精通计算机的人。

用于传播 FinFisher 的应用程序令人担忧。 它们包括广泛使用的应用程序,例如 WhatsApp、Skype、Avast、WinRAR、VLC 播放器等。 但是,重要的是要注意,如果手头的 ISP 进行中间人攻击,几乎任何应用程序都可以用作 FinFisher 的容器。

中间人攻击不仅非常适合传播 FinFisher 间谍软件,而且其背后的技术也得到了改进,使其更加隐秘。 该间谍软件使用自定义代码虚拟化来保护组件,并填充代码以防止反反汇编。 该代码也存在许多反沙盒、反调试、反虚拟化和反仿真技巧。

最近传播 FinFisher 的活动似乎集中在寻找使用加密和隐私技术的用户。 提供端到端加密消息的 Threema 等应用程序或 TrueCrypt(用于加密磁盘)等应用程序已被 FinFisher 植入木马。

恶意软件怎样传播得如此迅速和广泛?

由于 MITM 攻击的发生程度以及恶意软件的数量和地理分布,ESET 怀疑只有 ISP 才能如此快速有效地传播恶意软件。 还有其他指标使 ISP 很可能成为 MITM 攻击中的“人”。

首先,据透露 维基解密,FinFisher 的创建者过去提供了一种感染方法的解决方案,称为“FinFly ISP”,它与 ESET 看到的 MITM 攻击所需的功能相匹配。

其次,通过 HTTP 307 重定向的感染方法在两国都发生,这意味着它是从同一来源开发或提供的。

最后,受影响的目标都使用相同的 ISP,并且至少在其中一个国家/地区,过去使用相同的 HTTP 307 重定向方法进行互联网内容过滤。 安全专家发现七个国家存在 FinFisher 变体,但他们拒绝透露是哪些变体。

到目前为止,FinFly ISP 的部署从未被发现或披露过。 如果这些方法和代理得到证实,它将揭示一个新的先例,即秘密和侵入性监视可以达到前所未有的范围和渗透水平。

怎样击败 FinFisher MITM?

ESET 允许客户将威胁检测为 Win32/FinSpy.AA 和 Win32/FinSpy.AB 以将其删除。 但是,我们也建议使用 TorGuard VPN 自 TorGuard 通过加密隧道传输所有数据,保护用户免受 Internet 服务提供商的 MITM 攻击。

ISP 是否参与 FinFisher 监视活动? 1