Güvenlik firması ESET, 2018’de kullanılan ilk UEFI rootkit’i keşfetti. Bu tür kalıcı tehditler, güvenlik araştırmacıları arasında teorik tartışmaların konusuydu, ancak geçtiğimiz yıllarda, Geliştirilmesi nispeten zor olmasına rağmen, önceden düşünülenden çok daha yaygın olarak kullanılmışlar.
Bu hafta Kaspersky araştırmacıları, bilinmeyen bir kötü niyetli Çinli grubun eseri olduğuna inanılan “CosmicStrand” adlı yeni bir üretici yazılımı kök setini ortaya çıkardı Korsanlar artık anakartların UEFI sistemine sızıp önemli bilgileri ele geçiriyorlar.
Asus ve Gigabyte anakartlar bu açığı uzun süre taşımış
Araştırmacılar, rootkit’in, en uzun ömürlü Haswell dönemi yonga setlerinden biri olan ve sonunda 2020’de durdurulan Intel H81 yonga seti ile donatılmış birkaç Asus ve Gigabyte anakartın bellenim görüntülerinde keşfedildiğini açıkladı.
UEFI sabit yazılımı, bir bilgisayarı açtığınızda çalışan ilk kod parçası olduğundan, bu, diğer kötü amaçlı yazılım türlerine kıyasla CosmicStrand‘in kaldırılmasını özellikle zorlaştırıyor. Firmware rootkit’lerini tespit etmek ve bilgisayar korsanlarının hedef sisteme ek kötü amaçlı yazılım yüklemelerinin yolunu açmak da daha zor hale geliyor.
Bilgisayarınızdaki depolamayı basitçe silmek ve depolama aygıtlarını tamamen değiştirmek bu enfeksiyonu ortadan kaldırmıyor. UEFI, esasen, genellikle ana karta lehimlenmiş, kalıcı bir bellek yongası içinde duran küçük bir işletim sistemidir. Bu, CosmicStrand‘in kaldırılmasının, bilgisayar kapalıyken flaş çipini yeniden görüntüleyebilmek için özel araçlar gerektirdiği anlamına gelmekte.
Yeni kötü amaçlı yazılımın görüldüğü ülkeler
Şimdiye kadar, yalnızca Rusya, Çin, İran ve Vietnam gibi ülkelerdeki Windows işletim sistemlerinin güvenliği ihlal edilmiş gibi görünüyor. Bununla birlikte, yeni nesil UEFI teknolojisi, 2016’nın sonlarından beri kullanılmaktadır ve bu, bu tür kötü amaçlı yazılımların önceden beridir kullanıcıları tehlike altında bıraktığı anlamına geliyor. 2017 yılında, güvenlik firması Qihoo360, CosmicStrand’ın erken bir varyantı olabileceğini keşfetmişti. Daha yakın yıllarda, araştırmacılar MosaicRegressor, FinSpy, ESpecter ve MoonBounce gibi ek UEFI rootkit’leri bulmuşlardı.
CosmicStrand’a gelince, boyutu 100 kilobayttan küçük olan çok güçlü bir kötü amaçlı yazılım. Hedef sistemlerde nasıl tehlikelere sebep olduğu hakkında pek bir şey bilinmiyor, ancak çalışma şekli basit. İlk olarak, yürütme akışının belirli noktalarına sözde “kancalar” ayarlayarak önyükleme sürecini etkiliyor, böylece saldırganın yürütülmeden önce Windows çekirdek yükleyicisini değiştirmek için ihtiyaç duyduğu işlevselliği kazanıyor.
Saldırganlar buradan, Windows çekirdeğinde bir sonraki önyükleme işleminde çağrılan bir işlev biçiminde başka bir kanca kurabilirler. Bu işlev, bir komut ve kontrol sunucusuyla bağlantı kurabilen ve virüslü PC’ye ek kötü amaçlı yazılım indirebilen bellekte bir kabuk kodu dağıtıyor.
CosmicStrand, önemli bir Windows güvenlik özelliği olan PatchGuard (Microsoft Kernel Patch Protection olarak bilinir) gibi çekirdek korumalarını da devre dışı bırakabilmekte. CosmicStrand ile kurbanların bilgisayarlarına kripto madencileri dağıtmak için kullanılan MyKings botnet ile ilgili kötü amaçlı yazılımlar arasında kod kalıpları açısından da bazı benzerlikler bulunuyor.
Kaspersky araştırmacıları, CosmicStrand’ın yıllarca gizli kalmayı başaran birçok üretici yazılımı kök setinden biri olabileceğinden endişe duyuyorlar. Araştırmacılar konu hakkında “Şu ana kadar keşfedilen birden fazla rootkit, sektörümüzde er ya da geç ele alınması gereken bir kör nokta olduğunu kanıtlıyor.” açıklamasını yapıyor.