Güvenlik firması ESET, 2018’de kullanılan birinci UEFI rootkit’i keşfetti. Bu çeşit kalıcı tehditler, güvenlik araştırmacıları ortasında teorik tartışmaların konusuydu, lakin geçtiğimiz yıllarda, Geliştirilmesi nispeten sıkıntı olmasına karşın, evvelden düşünülenden çok daha yaygın olarak kullanılmışlar.
Bu hafta Kaspersky araştırmacıları, bilinmeyen bir berbat niyetli Çinli kümenin yapıtı olduğuna inanılan “CosmicStrand” isimli yeni bir üretici yazılımı kök setini ortaya çıkardı Korsanlar artık anakartların UEFI sistemine sızıp kıymetli bilgileri ele geçiriyorlar.
Asus ve Gigabyte anakartlar bu açığı uzun mühlet taşımış
Araştırmacılar, rootkit’in, en uzun ömürlü Haswell periyodu yonga setlerinden biri olan ve sonunda 2020’de durdurulan Intel H81 yonga seti ile donatılmış birkaç Asus ve Gigabyte anakartın bellenim imajlarında keşfedildiğini açıkladı.
UEFI sabit yazılımı, bir bilgisayarı açtığınızda çalışan birinci kod kesimi olduğundan, bu, başka makûs hedefli yazılım çeşitlerine kıyasla CosmicStrand‘in kaldırılmasını bilhassa zorlaştırıyor. Firmware rootkit’lerini tespit etmek ve bilgisayar korsanlarının gaye sisteme ek makûs emelli yazılım yüklemelerinin yolunu açmak da daha güç hale geliyor.
Bilgisayarınızdaki depolamayı basitçe silmek ve depolama aygıtlarını büsbütün değiştirmek bu enfeksiyonu ortadan kaldırmıyor. UEFI, esasen, çoklukla ana karta lehimlenmiş, kalıcı bir bellek yongası içinde duran küçük bir işletim sistemidir. Bu, CosmicStrand‘in kaldırılmasının, bilgisayar kapalıyken flaş çipini yine görüntüleyebilmek için özel araçlar gerektirdiği manasına gelmekte.
Yeni berbat hedefli yazılımın görüldüğü ülkeler
Şimdiye kadar, sadece Rusya, Çin, İran ve Vietnam üzere ülkelerdeki Windows işletim sistemlerinin güvenliği ihlal edilmiş üzere görünüyor. Bununla birlikte, yeni jenerasyon UEFI teknolojisi, 2016’nın sonlarından beri kullanılmaktadır ve bu, bu cins makus emelli yazılımların evvelce beridir kullanıcıları tehlike altında bıraktığı manasına geliyor. 2017 yılında, güvenlik firması Qihoo360, CosmicStrand’ın erken bir varyantı olabileceğini keşfetmişti. Daha yakın yıllarda, araştırmacılar MosaicRegressor, FinSpy, ESpecter ve MoonBounce üzere ek UEFI rootkit’leri bulmuşlardı.
CosmicStrand’a gelince, boyutu 100 kilobayttan küçük olan çok güçlü bir makus emelli yazılım. Amaç sistemlerde nasıl tehlikelere sebep olduğu hakkında pek bir şey bilinmiyor, lakin çalışma formu kolay. Birinci olarak, yürütme akışının makul noktalarına kelamda “kancalar” ayarlayarak önyükleme sürecini etkiliyor, böylelikle saldırganın yürütülmeden evvel Windows çekirdek yükleyicisini değiştirmek için gereksinim duyduğu fonksiyonelliği kazanıyor.
Saldırganlar buradan, Windows çekirdeğinde bir sonraki önyükleme sürecinde çağrılan bir fonksiyon biçiminde öbür bir kanca kurabilirler. Bu fonksiyon, bir komut ve denetim sunucusuyla temas kurabilen ve virüslü PC’ye ek makus maksatlı yazılım indirebilen bellekte bir kabuk kodu dağıtıyor.
CosmicStrand, kıymetli bir Windows güvenlik özelliği olan PatchGuard (Microsoft Kernel Patch Protection olarak bilinir) üzere çekirdek muhafazalarını da devre dışı bırakabilmekte. CosmicStrand ile kurbanların bilgisayarlarına kripto madencileri dağıtmak için kullanılan MyKings botnet ile ilgili berbat emelli yazılımlar ortasında kod kalıpları açısından da birtakım benzerlikler bulunuyor.
Kaspersky araştırmacıları, CosmicStrand’ın yıllarca bâtın kalmayı başaran birçok üretici yazılımı kök setinden biri olabileceğinden kaygı duyuyorlar. Araştırmacılar bahis hakkında “Şu ana kadar keşfedilen birden fazla rootkit, kesimimizde er ya da geç ele alınması gereken bir kör nokta olduğunu kanıtlıyor.” açıklamasını yapıyor.
Güvenlik firması ESET, 2018’de kullanılan birinci UEFI rootkit’i keşfetti. Bu çeşit kalıcı tehditler, güvenlik araştırmacıları ortasında teorik tartışmaların konusuydu, lakin geçtiğimiz yıllarda, Geliştirilmesi nispeten sıkıntı olmasına karşın, evvelden düşünülenden çok daha yaygın olarak kullanılmışlar.
Bu hafta Kaspersky araştırmacıları, bilinmeyen bir berbat niyetli Çinli kümenin yapıtı olduğuna inanılan “CosmicStrand” isimli yeni bir üretici yazılımı kök setini ortaya çıkardı Korsanlar artık anakartların UEFI sistemine sızıp kıymetli bilgileri ele geçiriyorlar.
Asus ve Gigabyte anakartlar bu açığı uzun mühlet taşımış
Araştırmacılar, rootkit’in, en uzun ömürlü Haswell periyodu yonga setlerinden biri olan ve sonunda 2020’de durdurulan Intel H81 yonga seti ile donatılmış birkaç Asus ve Gigabyte anakartın bellenim imajlarında keşfedildiğini açıkladı.
UEFI sabit yazılımı, bir bilgisayarı açtığınızda çalışan birinci kod kesimi olduğundan, bu, başka makûs hedefli yazılım çeşitlerine kıyasla CosmicStrand‘in kaldırılmasını bilhassa zorlaştırıyor. Firmware rootkit’lerini tespit etmek ve bilgisayar korsanlarının gaye sisteme ek makûs emelli yazılım yüklemelerinin yolunu açmak da daha güç hale geliyor.
Bilgisayarınızdaki depolamayı basitçe silmek ve depolama aygıtlarını büsbütün değiştirmek bu enfeksiyonu ortadan kaldırmıyor. UEFI, esasen, çoklukla ana karta lehimlenmiş, kalıcı bir bellek yongası içinde duran küçük bir işletim sistemidir. Bu, CosmicStrand‘in kaldırılmasının, bilgisayar kapalıyken flaş çipini yine görüntüleyebilmek için özel araçlar gerektirdiği manasına gelmekte.
Yeni berbat hedefli yazılımın görüldüğü ülkeler
Şimdiye kadar, sadece Rusya, Çin, İran ve Vietnam üzere ülkelerdeki Windows işletim sistemlerinin güvenliği ihlal edilmiş üzere görünüyor. Bununla birlikte, yeni jenerasyon UEFI teknolojisi, 2016’nın sonlarından beri kullanılmaktadır ve bu, bu cins makus emelli yazılımların evvelce beridir kullanıcıları tehlike altında bıraktığı manasına geliyor. 2017 yılında, güvenlik firması Qihoo360, CosmicStrand’ın erken bir varyantı olabileceğini keşfetmişti. Daha yakın yıllarda, araştırmacılar MosaicRegressor, FinSpy, ESpecter ve MoonBounce üzere ek UEFI rootkit’leri bulmuşlardı.
CosmicStrand’a gelince, boyutu 100 kilobayttan küçük olan çok güçlü bir makus emelli yazılım. Amaç sistemlerde nasıl tehlikelere sebep olduğu hakkında pek bir şey bilinmiyor, lakin çalışma formu kolay. Birinci olarak, yürütme akışının makul noktalarına kelamda “kancalar” ayarlayarak önyükleme sürecini etkiliyor, böylelikle saldırganın yürütülmeden evvel Windows çekirdek yükleyicisini değiştirmek için gereksinim duyduğu fonksiyonelliği kazanıyor.
Saldırganlar buradan, Windows çekirdeğinde bir sonraki önyükleme sürecinde çağrılan bir fonksiyon biçiminde öbür bir kanca kurabilirler. Bu fonksiyon, bir komut ve denetim sunucusuyla temas kurabilen ve virüslü PC’ye ek makus maksatlı yazılım indirebilen bellekte bir kabuk kodu dağıtıyor.
CosmicStrand, kıymetli bir Windows güvenlik özelliği olan PatchGuard (Microsoft Kernel Patch Protection olarak bilinir) üzere çekirdek muhafazalarını da devre dışı bırakabilmekte. CosmicStrand ile kurbanların bilgisayarlarına kripto madencileri dağıtmak için kullanılan MyKings botnet ile ilgili berbat emelli yazılımlar ortasında kod kalıpları açısından da birtakım benzerlikler bulunuyor.
Kaspersky araştırmacıları, CosmicStrand’ın yıllarca bâtın kalmayı başaran birçok üretici yazılımı kök setinden biri olabileceğinden kaygı duyuyorlar. Araştırmacılar bahis hakkında “Şu ana kadar keşfedilen birden fazla rootkit, kesimimizde er ya da geç ele alınması gereken bir kör nokta olduğunu kanıtlıyor.” açıklamasını yapıyor.
