Güvenlik firması ESET’in siber güvenlik araştırmacıları, tamamen güncellenmiş UEFI sistemlerinde Güvenli Önyüklemeyi atlayabilen, dünyanın vahşi doğada kullanılan ilk UEFI önyükleme setine ilişkin analizlerini paylaştı. Hatta tamamen güncellenmiş Windows 10 ve 11 sürümlerinde bunu atlayabilir.
ESET’in UEFI Bootkit’in Derinlemesine Analizi
Araştırmacılara göre, bu bootkit’i kimin oluşturduğuna veya adına dair bir belirti yok, bu yüzden BlackLotus bootkit’e karşılık geldiği sonucuna vardılar. Bu bootkit, 2022’den beri yeraltı siber suç forumlarında güncellemeler için ek 200 $ ile 5.000 $’a tanıtılıyor.
BlackLotus Yeteneklerini Anlamak
BlackLotus, montaj ve C programlama dillerinde yazılmıştır, bu nedenle geliştiriciler, 80 kb’lik bir dosyaya bir dizi güçlü özellik ekleyebilir. Yalnızca Güvenli Önyüklemeyi değil, Hipervizör korumalı Kod Bütünlüğü (HVCI), BitLocker ve Windows Defender dahil olmak üzere diğer birçok işletim sistemi güvenlik mekanizmasını da devre dışı bırakır.
Bu önyükleme seti, UEFI Güvenli Önyükleme etkinken Windows 11 çalıştıran tamamen güncelleştirilmiş sistemlerde çalışabilir. Ürün yazılımının Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) adı verilen düşük seviyeli zincirini hedefler. Bu karmaşık zincir, modern bilgisayarların başlatılmasından sorumludur. UEFI, bir işletim sisteminin kendisi olarak hizmet ederken, bilgisayarın donanım yazılımı ile işletim sistemi arasında köprü kurar.
UEFI, bilgisayarın ana kartında bulunan SPI bağlantılı flash depolama yongasında bulunduğundan, onu incelemek veya yamalamak son derece zordur. BlackLotus’un UEFI’yi ve MoonBounce, CosmicStrand ve MosaicRegressor gibi diğer bootkit’leri hedefleme şekli arasındaki fark, bunların flash depolama yongasında depolanan UEFI üretici yazılımını hedeflerken BlackLotus’un EFI sistem bölümündeki yazılımı hedeflemesidir.
BlackLotus Güvenli Önyüklemeyi Nasıl Yener?
Microsoft Windows’un tüm desteklenen sürümlerinde bulunan ve Ocak 2022’de yamalanan bir güvenlik açığından yararlanılarak gerçekleştirilir. CVE-2022-21894. Bu, onu keşfeden araştırmacı tarafından “Baton Drop” olarak adlandırılan ve bilgisayar başladığında Güvenli Önyükleme işlevlerini önyükleme sırasından tamamen kaldırmak için kullanılabilen bir mantık hatasıdır.
Tehdit aktörleri, sabit diskleri şifreleyen BitLocker’ın anahtarlarını elde etmek için bu kusurdan kolayca yararlanabilir. BlackLotus içerik oluşturucuları için bu kusurun son derece yararlı olduğu kanıtlandı çünkü yamalanmış olmalarına rağmen güvenlik açığı bulunan imzalanmış ikili dosyalar, güvenilmeyen önyükleme dosyaları hakkında uyarı veren UEFI iptal listesine henüz eklenmedi.
araştırmacılara göre, savunmasız yüzlerce önyükleyici şu anda kullanımda ve bu imzalı ikili dosyalar iptal edilirse milyonlarca cihazı işe yaramaz hale getirecek. Bu nedenle, tam olarak güncellenen cihazlar hala savunmasızdır çünkü tehdit aktörleri yamalı yazılımları savunmasız, eski yazılımlarla değiştirebilir.
UEFI Bootkit’leri Neden Bir Tehdittir?
UEFI önyükleme takımları güçlü tehditlerdir çünkü UEFI, işletim sisteminin önyükleme işlemi üzerinde tam denetime sahiptir. Çeşitli işletim sistemi güvenlik mekanizmalarını bu şekilde devre dışı bırakabilir ve erken işletim sistemi başlatma aşamalarında kendi çekirdek modu ve kullanıcı modu yüklerini konuşlandırabilir. Bu, saldırganların gizlice çalışmasına ve yüksek ayrıcalıklar kazanmasına olanak tanır.
Bootkit Nasıl Dağıtılır?
Bu önyükleme setinin dağıtılma şekli net değil, ancak saldırı zinciri, dosyaları EFI sistem bölümüne yazan ve HVCI ile BitLocker’ı devre dışı bırakan ve ardından ana bilgisayarı yeniden başlatan bir yükleyici bileşeni içeriyor.
BlackLotus, bootkit dosyasının silinmesine karşı koruma sağlayan bir çekirdek sürücüsü ve bir HTTP yükleyici dağıtmak için koruma çözümlerini devre dışı bırakır. Tersine, önyükleyici, kontrol sunucusuyla iletişim kurar ve yükü yürütür.
ALAKALI HABERLER
- Yeni Python Kötü Amaçlı Yazılımı Windows Cihazlarını Vuruyor
- ElectroRat, MacOS, Windows, Linux cihazlarına vurur
- 2022’deki Yeni Kötü Amaçlı Yazılımların %96’sı Windows’u Hedefledi
- Çinli Bilgisayar Korsanları Kötü Amaçlı Yazılımları Windows Logosunda Gizliyor
- LodaRAT Windows kötü amaçlı yazılımı Android Telefonları vurur
- OpenAI’nin ChatGPT’si Polimorfik Kötü Amaçlı Yazılım Oluşturuyor