Getty Resimleri
Araştırmacılar, bir işletim sistemi yeniden yüklense veya bir sabit sürücü tamamen değiştirilse bile bilgisayarların virüslü kalmasını sağlamak için 2016’dan beri vahşi ortamda kullanılan kötü niyetli bir UEFI tabanlı kök kullanıcı seti olan önemli bir siber güvenlik bulgusunu ortaya çıkardı.
Bellenim, neredeyse her modern bilgisayarı başlatmak için gereken düşük seviyeli ve son derece opak bellenim zinciri olan UEFI’den ödün verir. Bir PC’nin aygıt bellenimi ile işletim sistemi arasında köprü kuran yazılım olarak, UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arayüzü’nün kısaltması) başlı başına bir işletim sistemidir. Bilgisayar anakartına lehimlenmiş SPI bağlantılı bir flash depolama yongasında bulunur, bu da kodu incelemeyi veya düzeltmeyi zorlaştırır. Bir bilgisayar açıldığında çalıştırılacak ilk şey olduğundan, işletim sistemini, güvenlik uygulamalarını ve ardından gelen tüm diğer yazılımları etkiler.
Egzotik, evet. Nadir, hayır.
Pazartesi günü, Kaspersky araştırmacıları, şirketin antivirüs yazılımı aracılığıyla algıladığı ve elde ettiği gelişmiş bir UEFI rootkit için güvenlik firmasının adı olan CosmicStrand’ın profilini çıkardı. Buluntu, vahşi doğada kullanıldığı bilinen bu tür UEFI tehditlerinden yalnızca birkaçı arasında yer alıyor. Yakın zamana kadar, araştırmacılar, bu çapta UEFI kötü amaçlı yazılımını geliştirmek için gereken teknik taleplerin, onu çoğu tehdit aktörünün erişiminden uzaklaştırdığını varsayıyordu. Şimdi Kaspersky, CosmicStrand’ı, kripto madenci kötü amaçlı yazılımlarıyla olası bağlantıları olan, Çince konuşan bilinmeyen bir bilgisayar korsanlığı grubuna atfediyor ve bu tür kötü amaçlı yazılımlar o kadar da nadir olmayabilir.
Kaspersky araştırmacıları, “Bu raporun en çarpıcı yönü, bu UEFI implantının 2016’nın sonundan bu yana, yani UEFI saldırılarının kamuoyuna açıklanmaya başlamasından çok önce, vahşi ortamda kullanıldığı görülüyor” diye yazdı. “Bu keşif son bir soruyu akla getiriyor: Saldırganların o zamanlar kullandığı şey buysa, bugün ne kullanıyorlar?”
Diğer güvenlik firması Qihoo360’tan araştırmacılar, 2017’de rootkit’in daha önceki bir çeşidi hakkında rapor verirken, Kaspersky ve Batı merkezli diğer güvenlik firmalarının çoğu bunu dikkate almadı. Kaspersky’nin daha yeni araştırması, bazı Gigabyte veya Asus anakartların bellenim görüntülerinde bulunan rootkit’in, virüslü makinelerin önyükleme sürecini nasıl ele geçirebildiğini ayrıntılı olarak açıklıyor. Teknik temeller, kötü amaçlı yazılımın karmaşıklığını kanıtlar.
Rootkit, bulaştığı işletim sisteminin en derin bölgelerinde çalışan bir kötü amaçlı yazılım parçasıdır. Varlığı hakkındaki bilgileri işletim sisteminin kendisinden gizlemek için bu stratejik konumdan yararlanır. Bu arada bir önyükleme seti, sistemde kalıcı olmak için bir makinenin önyükleme sürecini etkileyen kötü amaçlı yazılımdır. Eski BIOS’un halefi olan UEFI, bileşenlerin bir işletim sisteminin başlatılmasına nasıl katılabileceğini tanımlayan teknik bir standarttır. 2006’da tanıtıldığı için en “en yeni” olanıdır. Bugün, önyükleme işlemi söz konusu olduğunda hemen hemen tüm cihazlar UEFI’yi desteklemektedir. Buradaki kilit nokta, UEFI düzeyinde bir şey oluyor dediğimizde, bunun daha işletim sistemi yüklenmeden bilgisayar açılırken olduğu anlamına geliyor. Bu süreçte hangi standart kullanılıyorsa kullanılsın sadece bir uygulama detayı ve 2022’de neredeyse her zaman UEFI olacak.
Kaspersky araştırmacısı Ivan Kwiatkowski bir e-postada şunları yazdı:
Bu nedenle, bir rootkit kurbanın makinesinde nereye kurulduğuna bağlı olarak bir bootkit olabilir veya olmayabilir. Bir bootkit, sistemin başlatılması için kullanılan bir bileşene bulaştığı sürece bir rootkit olabilir veya olmayabilir (ancak bunların genellikle ne kadar düşük seviyeli olduğu düşünüldüğünde, bootkit’ler genellikle rootkit olacaktır). Ve bellenim, bootkit’ler tarafından bulaşabilecek bileşenlerden biridir, ancak başkaları da vardır. CosmicStrand bunların hepsi aynı anda olur: Gizli rootkit yeteneklerine sahiptir ve anakartların bellenim görüntüsünün kötü niyetli yamalarıyla önyükleme sürecini etkiler.
CosmicStrand’ın iş akışı, önyükleme sürecinde özenle seçilmiş noktalara “kancalar” yerleştirmekten oluşur. Kancalar, normal yürütme akışında yapılan değişikliklerdir. Genellikle saldırgan tarafından geliştirilen ek kod biçiminde gelirler, ancak bazı durumlarda meşru bir kullanıcı, yeni işlevsellik sağlamak için belirli bir işlevden önce veya sonra kod enjekte edebilir.
CosmicStrand iş akışı şöyle görünür:
- İlk virüslü ürün yazılımı tüm zinciri önyükler.
- Kötü amaçlı yazılım, önyükleme yöneticisinde kötü amaçlı bir kanca oluşturarak Windows’un çekirdek yükleyicisini yürütülmeden önce değiştirmesine olanak tanır.
- Saldırganlar, OS yükleyicisini kurcalayarak, Windows çekirdeğinin bir işlevinde başka bir kanca kurabilirler.
- Bu işlev daha sonra işletim sisteminin normal başlatma prosedürü sırasında çağrıldığında, kötü amaçlı yazılım yürütme akışının kontrolünü son bir kez ele alır.
- Belleğe bir kabuk kodu yerleştirir ve kurbanın makinesinde çalıştırılacak gerçek kötü amaçlı yükü almak için C2 sunucusuyla bağlantı kurar.
