ESET’teki siber güvenlik analistleri kısa bir süre önce, UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arabirimi) için sinsi bir önyükleme seti olan BlackLotus’un, Güvenli Önyükleme savunmasını başarıyla atlattığı bilinen birincil kötü amaçlı yazılım olarak ün kazandığını ve onu korkunç bir tehlike haline getirdiğini bildirdi.
UEFI Secure Boot’un etkinleştirildiği en güncel Windows 11 sistemlerinde bile, bu bootkit sorunsuz çalışma özelliğine sahiptir.
UEFI önyükleme setlerinin sistem ürün yazılımında uygulanması, işletim sisteminin önyükleme işlemi üzerinde tam kontrol sağlanmasıyla sonuçlanır.
Bu açıktan yararlanılarak, işletim sistemi (OS) düzeyindeki güvenlik mekanizmaları devre dışı bırakılabilir ve başlatma işlemi sırasında yüksek ayrıcalıklara sahip rasgele yüklerin yüklenmesine izin verebilir.
Ekim 2022’den bu yana UEFI bootkit, bilgisayar korsanlığı forumlarında 5.000 ABD doları karşılığında satın alınabiliyor. Ek olarak, bootkit’in yeni sürümleri her biri 200 ABD Doları’ndan temin edilebilir.
BlackLotus UEFI Bootkit
80 kilobayt boyutuyla bu sağlam ve inatçı araç seti, Assembly ve C kullanılarak programlanmıştır. Ayrıca, program, bilgisayarlara aşağıdaki yerlerden virüs bulaşmamasını sağlamak için coğrafi sınırlama özelliklerine sahiptir:-
- Ermenistan
- Belarus
- Kazakistan
- Moldova
- Romanya
- Rusya
- Ukrayna
Ekim 2022’de BlackLotus ile ilgili bilgiler ilk kez gün ışığına çıkarıldı. Bu süre zarfında Kaspersky güvenlik araştırmacısı olan Sergey Lozhkin, bundan karmaşık bir suç yazılımı çözümü olarak bahsetti.
Temelde BlackLotus, UEFI Güvenli Önyükleme korumalarını atlamak ve kalıcılık sağlamak için CVE-2022-21894 (Baton Drop olarak da anılır) olarak bilinen bir güvenlik açığından yararlanır.
Bu güvenlik açığından başarıyla yararlanılmasının ardından, erken önyükleme aşamalarında isteğe bağlı kod çalıştırılabilir hale gelir. Daha sonra, bu, kötü niyetli bir aktörün, fiziksel erişim gerekliliği olmadan UEFI Güvenli Önyükleme ile etkinleştirilen bir sistemde zararlı eylemler gerçekleştirmesine olanak tanır.
Bugüne kadar bu, gerçek dünya ortamında bu güvenlik açığının kamuya açık bir şekilde kötüye kullanılmasının ilk örneğidir. Etkilenen ve yasal olarak imzalanmış ikili dosyalar henüz UEFI’nin iptal listesine dahil edilmediğinden, bundan yararlanmak hala mümkündür.
BlackLotus, kusurdan yararlanmak için güvenlik açığına duyarlı meşru ikili dosya sürümlerini sisteme sunarak bundan yararlanır.
BlackLotus, aşağıdakiler gibi güvenlik mekanizmalarını devre dışı bırakmak için bazı istisnai yeteneklere sahip olmanın yanı sıra, bir çekirdek sürücüsü ve bir HTTP indirici yüklemek için tasarlanmıştır: –
- BitLocker
- Hiper yönetici korumalı Kod Bütünlüğü (HVCI)
- Windows Defender
Bu bileşenler, aşağıdakilerden herhangi birinde ek kötü amaçlı yazılım indirmek için bir komut ve kontrol (C2) sunucusuyla iletişim kurar: –
Şu anda, bootkit’i uygulamak için kullanılan kesin yöntemin net bir anlayışı yoktur. Ancak, dosyaları EFI sistem bölümüne oluşturma sorumluluğunu üstlenen bir yükleyici bileşeniyle başlıyor gibi görünüyor.
Bunu takiben yükleyici bileşeni, HVCI ve BitLocker’ı devre dışı bırakacak ve ardından ana bilgisayarın yeniden başlatılmasını başlatacaktır. Saldırganlar ayrıca CVE-2022-21894’ten yararlanma, kalıcılık için yararlanma ve sistemi yeniden başlattıktan sonra önyükleme setini yükleme yeteneğine sahiptir.
Bu önyükleme setinde uygulanan ve saldırganın, sistem başlatıldığında çekirdek sürücüsünü otomatik olarak çalıştırarak sistem üzerindeki kontrolünü sürdürmesine olanak tanıyan bir dizi açıktan yararlanma vardır.
İlk olarak, çekirdek sürücüsü HTTP indiriciyi kullanıcı modunda çalıştırır ve ikinci olarak, tamamı bir sonraki aşama HTTP indirme işleminin parçası olan çekirdek modu yüklerini ikinci aşamada yürütür.
Kötü amaçlı yazılım tarafından gerçekleştirilen eylemler çok yönlü ve karmaşıktır. Bunlar, bir çekirdek sürücüsü, DLL veya standart bir yürütülebilir dosya gibi çeşitli kötü amaçlı yazılım biçimlerinin indirilmesini ve çalıştırılmasını içerir.
Ek olarak, kötü amaçlı yazılım, bootkit güncellemelerini getirme ve hatta bootkit’i virüs bulaşmış sistemden kaldırma yeteneğine sahiptir.
Son yıllarda UEFI sistemlerinin güvenliğini etkileme potansiyeline sahip çok sayıda kritik güvenlik açığı tespit edilmiştir.
Bununla birlikte, UEFI ekosistemindeki karmaşıklıklar ve ilgili tedarik zinciri sorunları nedeniyle, birçok sistem, ele alındıktan veya en azından çözümlerinden haberdar olmamızdan çok sonra bile bu güvenlik açıklarına karşı savunmasız kaldı.
UEFI Güvenli Önyüklemenin etkinleştirildiği bilgisayar sistemleri giderek yaygınlaştıkça, güvenlik açıklarının kötü niyetli aktörler tarafından kullanılması kaçınılmazdı.
Azaltmalar
Aşağıda, güvenlik analistleri tarafından sunulan tüm azaltmalardan bahsettik: –
- Sisteminizi ve güvenlik ürününü her zaman güncel tutmalısınız.
- UEFI Güvenli Önyüklemeyi atlamak için UEFI iptal veritabanında bunları iptal ederek bilinen savunmasız UEFI ikili dosyalarını kullanmaktan kaçının.
- Yaygın olarak kullanılan Windows UEFI ikili dosyalarını iptal etmenin zorluklarından biri, çok sayıda sistemi, kurtarma görüntüsünü ve yedeklemeyi önyüklenemez hale getirme potansiyelidir. Bu tür bir iptalin önemli etkisi göz önüne alındığında, kesintileri en aza indirmek ve kullanıcıların sistemlerine erişimsiz kalmamasını sağlamak için dikkatli değerlendirme ve planlama gerektirdiğinden, sürecin genellikle yavaş olabilmesi anlaşılabilir bir durumdur.
- BlackLotus’un önyükleme seti, iptal edilmiş bir önyükleyici üzerine kurulur, bu nedenle, uygulamalar iptal edilirse kurbanın sistemini çalışmaz hale getirebilir. Bu, işletim sistemini yeniden yükleyerek veya bir ESP kurtarma işlemi gerçekleştirerek giderilebilir.
- Önyükleme seti, kalıcı depolama için özel bir MOK anahtarına sahip meşru bir dolgu kullandığından, sertifikanın iptali BlackLotus kalıcılığı ayarlandıktan sonra gerçekleşirse, önyükleme takımı işlevsel kalmalıdır. Bu saldırıyı azaltmak için, koruma amacıyla, Windows’u mümkün olan en kısa sürede yeniden yüklemek ve saldırganların kayıtlı MOK anahtarının mokutil programı kullanılarak kaldırıldığından emin olmak en iyisidir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin