Yeni Hybridpetya Fidye Yazılımı UEFI Güvenli Önyükleme

Hybridpetya adı verilen yakın zamanda keşfedilen fidye yazılımı suşu, EFI sistem bölümüne kötü amaçlı bir uygulama yüklemek için UEFI Güvenli Önyükleme özelliğini atlayabilir.

Hybridpetya, 2016 ve 2017 yıllarında Windows’un saldırılarda önyüklemesini engelleyen ancak bir kurtarma seçeneği sunmayan yıkıcı Petya/Notpetya kötü amaçlı yazılımından esinlenmiştir.

Siber güvenlik şirketi ESET’teki araştırmacılar, Virustotal’da bir hibridpetya örneği buldular. Bunun bir araştırma projesi, kavram kanıtı veya hala sınırlı test altında bir siber suç aracının erken bir versiyonu olabileceğini belirtiyorlar.

Yine de ESET, varlığının başka bir örnek olduğunu (Blacklotus, Bootkitty ve Hyper-V Backdoor ile birlikte) güvenli baypas işlevselliğine sahip UEFI bootkitlerinin gerçek bir tehdit olduğunu söylüyor.

Hybridpetya, bu eski kötü amaçlı yazılım suşlarının görsel stili ve saldırı zinciri de dahil olmak üzere hem Petya hem de Notpetya’dan özellikleri içerir.

Bununla birlikte, geliştirici EFI sistem bölümüne kurulum gibi yeni şeyler ve CVE-2024-7344 güvenlik açığından yararlanarak güvenli botu atlama yeteneği ekledi.

ESET, bu yıl Ocak ayında kusuru keşfetti, sorun, hedefte etkin olan güvenli önyükleme koruması ile bile bootkitleri dağıtmak için kullanılabilecek Microsoft tarafından imzalanmış uygulamalardan oluşuyor.

Lansman üzerine, hibridpetya, ana bilgisayarın GPT bölümleme ile UEFI kullanıp kullanmadığını ve birkaç dosyadan oluşan EFI sistem bölümüne kötü amaçlı bir bootkit bırakıp bırakmadığını belirler.

Bunlar, yapılandırma ve doğrulama dosyaları, değiştirilmiş bir önyükleme makinesi, bir yedek UEFI bootloader, bir istismar yük kabı ve şifreleme ilerlemesini izleyen bir durum dosyasını içerir.

ESET, Hybridpetya’nın analiz edilen varyantlarında kullanılan aşağıdaki dosyaları listeler:

1. \ EFI \ Microsoft \ Boot \ Config (Şifreleme Bayrağı + Anahtar + Nonce + Kurban Kimliği)
2. \ EFI \ Microsoft \ Boot \ Doğrulama (Doğru Şifre Çözme Anahtarını Doğrulamak İçin Kullanılır)
3. \ EFI \ Microsoft \ Boot \ Counter (şifreli kümeler için ilerleme izleyicisi)
4. \ EFi \ microsoft \ boot \ bootmgfw.efi.old (orijinal bootloader’ın yedeği)
5. \ Efi \ Microsoft \ Boot \ cloak.dat (güvenli önyükleme bypass varyantında xored bootkit içerir)

Ayrıca, kötü amaçlı yazılım \ eFi \ microsoft \ boot \ bootmgfw.efi’yi savunmasız ‘reloader.efi’ ile değiştirir ve \ eFi \ boot \ bootx64.efi’yi kaldırır.

Orijinal Windows Bootloader, başarılı restorasyon durumunda etkinleştirilecek şekilde kaydedilir, yani kurbanın fidye ödediği anlamına gelir.

Dağıtım yapıldıktan sonra, Hybridpetya, Petya’nın yaptığı gibi sahte bir hatayı görüntüleyen bir BSOD tetikler ve bir sistem yeniden başlatmaya zorlar ve kötü amaçlı bootkit’in sistem önyükleme üzerine yürütülmesine izin verir.

Bu adımda, fidye yazılımı, NotPetyA gibi sahte bir Chkdsk mesajı görüntülerken yapılandırma dosyasından bir Salsa20 tuşunu ve nonce ekstrakte kullanarak tüm MFT kümelerini şifreler.

Şifreleme tamamlandıktan sonra, başka bir yeniden başlatma tetiklenir ve kurbana sistem önyükleme sırasında fidye notu verilir ve 1.000 dolarlık bir bitcoin ödemesi talep eder.

Buna karşılık, kurbana orijinal önyükleyiciyi geri yükleyen, kümelerin şifresini çözen ve kullanıcıyı yeniden başlatmasını isteyen fidye not ekranına girebilecekleri 32 karakterlik bir anahtar sağlanır.

Hybridpetya, vahşi doğada herhangi bir gerçek saldırıda gözlenmemiş olsa da, benzer projeler POC’yi silahlandırmayı ve herhangi bir zamanda dövülmemiş Windows sistemlerini hedefleyen geniş kampanyalarda kullanmayı seçebilir.

Bu tehdide karşı savunmaya yardımcı olacak uzlaşma göstergeleri bu GitHub deposunda sunulmuştur.

Microsoft, Salı Ocak 2025 yaması ile CVE-2024-7344’ü düzeltti, bu nedenle bu veya daha sonraki güvenlik güncellemelerini uygulayan Windows sistemleri Hybridpetya’dan korundu.

Fidye yazılımlarına karşı bir diğer sağlam uygulama, en önemli verilerinizin çevrimdışı yedeklerini tutmak ve ücretsiz ve kolay sistem restorasyonuna izin vermektir.