Yeni UEFI rootkit’in keşfi, çirkin bir gerçeği ortaya koyuyor: Saldırılar bizim için görünmez


Yeni UEFI rootkit'in keşfi, çirkin bir gerçeği ortaya koyuyor: Saldırılar bizim için görünmez

Getty Resimleri

Araştırmacılar, bir işletim sistemi yeniden yüklense veya bir sabit sürücü tamamen değiştirilse bile bilgisayarların virüslü kalmasını sağlamak için 2016’dan beri vahşi ortamda kullanılan kötü niyetli bir UEFI tabanlı kök kullanıcı seti olan önemli bir siber güvenlik bulgusunu ortaya çıkardı.

Bellenim, neredeyse her modern bilgisayarı başlatmak için gereken düşük seviyeli ve son derece opak bellenim zinciri olan UEFI’den ödün verir. Bir bilgisayarın aygıt donanım yazılımı ile işletim sistemi arasında köprü kuran yazılım olan UEFI, Birleşik Genişletilebilir Ürün Yazılımı Arayüzü— başlı başına bir işletim sistemidir. Bir SPI-Bilgisayar anakartına lehimlenmiş bağlı flash depolama yongası, kodu incelemeyi veya düzeltmeyi zorlaştırıyor. Bilgisayar açıldığında çalıştırılacak ilk şey olduğundan, işletim sistemini, güvenlik uygulamalarını ve ardından gelen tüm diğer yazılımları etkiler.

Egzotik, evet. Nadir, hayır.

Pazartesi günü, Kaspersky araştırmacıları profilli Cosmic Strand, şirketin virüsten koruma yazılımı aracılığıyla algıladığı ve elde ettiği gelişmiş bir UEFI rootkit için güvenlik firmasının adı. Buluntu, vahşi doğada kullanıldığı bilinen bu tür UEFI tehditlerinden yalnızca birkaçı arasında yer alıyor. Yakın zamana kadar araştırmacılar, bu çapta UEFI kötü amaçlı yazılımını geliştirmek için gereken teknik taleplerin, onu çoğu tehdit aktörünün erişiminden uzaklaştırdığını varsayıyordu. Şimdi, Kaspersky CosmicStrand’i, kripto madenci kötü amaçlı yazılımlarıyla olası bağlantıları olan, Çince konuşan bilinmeyen bir bilgisayar korsanlığı grubuna atfederken, bu tür kötü amaçlı yazılımlar o kadar da nadir olmayabilir.

Kaspersky araştırmacıları, “Bu raporun en çarpıcı yönü, bu UEFI implantının 2016’nın sonundan bu yana, yani UEFI saldırılarının kamuoyuna açıklanmaya başlamasından çok önce, vahşi ortamda kullanıldığı görülüyor” diye yazdı. “Bu keşif son bir soruyu akla getiriyor: Saldırganların o zamanlar kullandığı şey buysa, bugün ne kullanıyorlar?”

Diğer güvenlik firması Qihoo360’tan araştırmacılar rapor edildi 2017’de rootkit’in daha önceki bir çeşidinde Kaspersky ve diğer Batı merkezli güvenlik firmalarının çoğu bunu fark etmedi. Kaspersky’nin daha yeni araştırması, bazı Gigabyte veya Asus anakartların bellenim görüntülerinde bulunan rootkit’in, virüslü makinelerin önyükleme sürecini nasıl ele geçirebildiğini ayrıntılı olarak açıklıyor. Teknik temeller, kötü amaçlı yazılımın karmaşıklığını kanıtlar.

Rootkit, bulaştığı işletim sisteminin en derin bölgelerinde çalışan bir kötü amaçlı yazılım parçasıdır. Varlığı hakkındaki bilgileri işletim sisteminin kendisinden gizlemek için bu stratejik konumdan yararlanır. Bu arada bir önyükleme seti, sistemde kalıcı olmak için bir makinenin önyükleme sürecini etkileyen kötü amaçlı yazılımdır. Eski BIOS’un halefi olan UEFI, bileşenlerin bir işletim sisteminin başlatılmasına nasıl katılabileceğini tanımlayan teknik bir standarttır. 2006 civarında tanıtıldığı için en “en yeni” olanıdır. Bugün, önyükleme işlemi söz konusu olduğunda hemen hemen tüm cihazlar UEFI’yi desteklemektedir. Buradaki kilit nokta, UEFI düzeyinde bir şey oluyor dediğimizde, bunun bilgisayar açılırken, işletim sistemi yüklenmeden önce olduğu anlamına geliyor. Bu süreçte hangi standart kullanılıyorsa kullanılsın sadece bir uygulama detayı ve 2022’de neredeyse her zaman UEFI olacak.

Kaspersky araştırmacısı Ivan Kwiatkowski bir e-postada şunları yazdı:

Bu nedenle, bir rootkit kurbanın makinesinde nereye kurulduğuna bağlı olarak bir bootkit olabilir veya olmayabilir. Bir bootkit, sistemin başlatılması için kullanılan bir bileşene bulaştığı sürece bir rootkit olabilir veya olmayabilir (ancak bunların genellikle ne kadar düşük seviyeli olduğu düşünüldüğünde, bootkit’ler genellikle rootkit olacaktır). Ve bellenim, bootkit’ler tarafından bulaşabilecek bileşenlerden biridir, ancak başkaları da vardır. CosmicStrand bunların hepsi aynı anda olur: Gizli rootkit yeteneklerine sahiptir ve anakartların bellenim görüntüsünün kötü niyetli yamalarıyla önyükleme sürecini etkiler.

CosmicStrand’ın iş akışı, önyükleme sürecinde özenle seçilmiş noktalara “kancalar” yerleştirmekten oluşur. Kancalar, normal yürütme akışında yapılan değişikliklerdir. Genellikle saldırgan tarafından geliştirilen ek kod biçiminde gelirler, ancak bazı durumlarda meşru bir kullanıcı, yeni işlevsellik sağlamak için belirli bir işlevden önce veya sonra kod enjekte edebilir.

CosmicStrand iş akışı şöyle görünür:

  • İlk virüslü ürün yazılımı tüm zinciri önyükler.
  • Kötü amaçlı yazılım, önyükleme yöneticisinde kötü amaçlı bir kanca oluşturarak Windows’un çekirdek yükleyicisini yürütülmeden önce değiştirmesine olanak tanır.
  • Saldırganlar, OS yükleyicisini kurcalayarak, Windows çekirdeğinin bir işlevinde başka bir kanca kurabilirler.
  • Bu işlev daha sonra işletim sisteminin normal başlatma prosedürü sırasında çağrıldığında, kötü amaçlı yazılım yürütme akışının kontrolünü son bir kez ele alır.
  • Belleğe bir kabuk kodu yerleştirir ve kurbanın makinesinde çalıştırılacak gerçek kötü amaçlı yükü almak için C2 sunucusuyla bağlantı kurar.


Kaynak : https://arstechnica.com/?p=1869307

Yorum yapın