Yaygın, çok amaçlı Glupteba kötü amaçlı yazılımı, Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) önyükleme kitini benimseyerek, işletim sisteminin yüklenme sürecini manipüle ederek, yeniden başlatmalara rağmen Windows sistemlerinde gizlice varlığını sürdürmesine olanak tanıyor.
Glupteba bir kötü amaçlı yazılım devidir: arka kapı-bilgi hırsızlığı-yükleyici-kriptominer-kötü amaçlı reklamveren-botnet kombinasyonu, operatörlerinin isteği üzerine daha da fazla bileşenin eklenmesine izin verecek şekilde modüler olarak oluşturulmuştur. Pek çok yeteneği arasında, Bitcoin blok zincirini yedek komuta ve kontrol (C2) sistemi olarak kullanmak ve Windows çekirdek sürücüleri ile kendini gizleyebilmek gibi bazı ekstra özel özellikler de bulunmaktadır.
En son parlak özelliği, bu son parçanın yükseltilmesidir. İçinde Palo Alto Networks’ün Birim 42’si tarafından gözlemlenen bir kampanya Geçtiğimiz Kasım ayında Glupteba, virüslü Windows makinelerinde Windows’tan önce çalışmaya başlayabilmesini sağlayan hassas bir önyükleyici implantı ile donatılmış olarak geldi.
Yeni Önyükleyici
Önceki yıllarda Glupteba, Windows sürücülerini manipüle ederek ciddi düzeyde ısrar ve kaçınma elde etmişti. Bilinen bir güvenlik açığı bulunan sürücüyü kaldıracak, ardından Windows’un sürücülerin dijital imzalarla doğrulanması gereksinimini geçersiz kılmak için DSEFix veya UPGDSED gibi açık kaynak araçlarını kullanacak.
Artık botnet, EfiGuard adında yeni bir açık kaynak aracı içeriyor; bu araç, eskiden temel giriş/çıkış sisteminin (BIOS) yerini alan bir spesifikasyon olan UEFI’den yararlanarak daha da gelişmiş, daha düşük seviyeli erişim sağlıyor. bir makinenin donanım yazılımını işletim sistemine bağlama.
Kısacası, önyükleme kiti, bir makinenin önyükleme aygıtında bulunan ve Windows Önyükleme Yöneticisini içeren EFI sistem bölümü (ESP) için bir implant içerir; bu, sürücü imzası uygulamasını ve çekirdekte değişiklikleri önleyen Windows işlevi olan PatchGuard’ı devre dışı bırakır. Glupteba’nın bu ayrıcalıklı alanda çalışmasına olanak tanır, kodunu Windows başlatılmadan önce çalıştırır ve etkilenen kuruluşlar için onu tespit etme ve kaldırma işini çok daha zor hale getirir.
Böyle sadece birkaçı bootkit’ler keşfedildi daha önce vahşi doğada.
Palo Alto Networks’ün korteks tehdit araştırmacısı Lior Rochberger, “Glupteba’nın UEFI önyükleyicisi, hedeflenen kuruluşlar için ciddi tehditler oluşturuyor ve potansiyel olarak kalıcı enfeksiyona, yetkisiz erişime, aygıt yazılımı üzerinde kontrole, veri kaybına ve operasyonel kesintilere yol açabilir” diye uyarıyor. “Bu riskler daha zorlu ve ciddi hale geliyor, özellikle de önyükleme kiti kurulduktan sonra tespit edilmesi ve düzeltilmesi çok zor olduğundan. En kötü senaryoda, operatörler donanım bileşenini manipüle edebilir ve virüslü makinelerde uzun vadeli hasara neden olabilir. “
Palo Alto’nun raporunda belirttiği gibi, hedeflenen makinenin mimarisine, işletim sistemi sürümüne ve yapılandırmasına bağlı olarak herhangi bir senaryoda DSEFix, UPGDSED veya EfiGuard gerekebilir. Ancak üçünden hiçbiri görünmüyor BlackLotus’un yapabildiği gibi Windows’un Güvenli Önyükleme özelliğini atlayın.
Glupteba, en güçlülerden biri olmasının yanı sıra, aynı zamanda dünyanın en uzun süredir devam eden kötü amaçlı yazılım örneklerinden biridir.
2010’ların başında basit bir arka kapı olarak başlayan bu ağ, yavaş yavaş çeşitli yazılımlardan kredi kartı verilerini ve kimlik bilgilerini çalabilen, dijital reklam dolandırıcılığı gerçekleştirebilen, kripto para birimlerini ele geçirip madencilik yapabilen, yönlendiricilerde uzaktan yönetici erişimi elde edebilen ve ek yükler indirebilen çok yönlü bir botnet’e dönüştü. daha fazla özellik ile.
O halde, takip eden on yılda zaten bir milyondan fazla Windows cihazını büyüsü altına almış olması ve her gün binlercesinin daha eklenmesi hiç de şaşırtıcı değil. Glupteba o kadar büyüdü ki, onu geleneksel yöntemlerle durdurmaya gücü yetmediği için ilham verdi. Google’dan dava.
Google’ın çabaları Glupteba’nın Aralık 2022’de tekrar kükremesine kadar kesintiye uğramasına yardımcı oldu. Rochberger, bunun yeniden canlanmasını, Dark Web kaçakçılarının Glupteba gibi kötü amaçlı yazılım operatörlerinden dünya çapında belirli sayıda enfeksiyon karşılığında ücret aldığı yükleme başına ödeme (PPI) pazarına bağlıyor. sabit oranlı ödemeler.
“Dağıtım belirli hedeflere değil, mümkün olduğunca yayılmaya yönelik bir yaklaşım izlediğinden, etkilenen sektörler çeşitlilik gösteriyordu” diye açıklıyor. Aynı şey coğrafi bölgeler için de geçerli: Glupteba’nın 2023 kampanyası Yunanistan ve Nepal, Bangladeş, Brezilya, Kore, Cezayir, Ukrayna, Slovakya, Türkiye, İtalya ve İsveç gibi çok çeşitli ülkelere yayıldı.
Rochberger, halihazırda etkilenen kuruluşların yanı sıra daha şanslı olanlara da proaktiflik ve çalışkanlık öneriyor.
“En önemli şey, iyi bir güvenlik hijyeni ve iyi bir güvenlik duruşu sağlamak; en güncel güvenlik ürünlerini kullanmak ve kuruluşların yalnızca tespit etmekle kalmayıp aynı zamanda bu tür türlerin önlenmesini de sağlayan çok katmanlı bir yaklaşım uygulamaktır” diyor sürekli gelişen karmaşık tehditler.”