Temmuz 2025’in sonlarında, kötü şöhretli Petya ve Notpetya saldırılarına atıfta bulunan dosya adları altında Virustotal’da bir dizi fidye yazılımı örneği ortaya çıktı.
Seleflerinin aksine, bu yeni tehdit – Hibridpetya ESET analistleri – Geleneksel Userland yürütmenin ötesine uzanan ve doğrudan savunmasız sistemlerde UEFI ürün yazılımını hedefleyen yetenekleri genişletti.
Özel olarak hazırlanmış cloak.dat Arşiv ve CVE-2024-7344’ün sömürülmesi olan Hybridpetya, eski platformlarda güvenli bir önyükleme baypası elde ederek EFI sistem bölümüne kötü amaçlı bir EFI uygulaması yüklemesine izin verir.
Hybridpetya’nın ortaya çıkışı, bootkit tasarımında önemli bir evrime işaret ediyor. Kötü amaçlı yazılım, çift bileşenli bir mimariden yararlanır: Windows tabanlı bir yükleyici ve EFI bootkit.
Dağıtım üzerine yükleyici, EFI sistem bölümünü bulur, meşru önyükleyicileri yedekler, Salsa20 şifreli bir yapılandırma dosyasını bırakır (\EFI\Microsoft\Boot\config) ve şifreli bir doğrulama dizisi (\EFI\Microsoft\Boot\verify).
.webp)
Tetiklenen bir BSOD daha sonra sistemi tehlikeye atılan önyükleyici aracılığıyla yeniden yüklemeye zorlar ve bir sonraki başlangıçta EFI bileşenini etkinleştirir.
ESET araştırmacıları, Hybridpetya’nın hem miras hem de UEFI sistemlerini desteklediğini; Bununla birlikte, gerçek yeniliği, CVE-2024-7344 güvenlik açığı aracılığıyla UEFI güvenli botu atlamaktır.
Microsoft’un Ocak 2025’ten yoksun etkilenen sistemlerde dbx güncelleme, kötü niyetli reloader.efi Uygulama, Microsoft imzalı bir ikili olarak maskelenir.
Yürütüldüğünde, beraberindeki davranır cloak.dat Meşru bir yük olarak dosya, imza doğrulaması olmadan XOR-Obsuscated EFI Bootkit’i yükleyin ve yürütür.
.webp)
Bu teknik, bir fidye yazılımı çerçevesinde silahlansa da, daha önceki danışma raporlarında ESET tarafından detaylandırılan sömürü yöntemini yansıtır.
EFI bootkit, OS öncesi aşamada kontrol kazandıktan sonra, yapılandırmasını ve şifreleme bayrağını okur.
Bayrak “şifrelemeye hazır” olarak ayarlanmışsa, bootkit Salsa20 tuşunu ve nonce’i çıkarır, yapılandırma bayrağını yeniden yazar ve tespit edilen tüm bölümlerde NTFS Ana Dosya Tablosu’nu (MFT) şifreler.
Bu işlem sırasında, kurbana aldatıcı bir CHKDSK benzeri ilerleme mesajı görüntülenir ve kötü niyetli etkinliği maskelemektedir.
.webp)
Şifreleme tamamlandıktan sonra, sistem yeniden başlatılır ve notpetya tarzı bir fidye notu sunar.
Enfeksiyon mekanizması ve kalıcılık
Hybridpetya’nın enfeksiyon mekanizması, Windows yükleyicisi ve UEFI bootkit arasındaki etkileşime girer.
Yükleyici, yerel API’yi arayarak başlar NtRaiseHardError Bir kapatma teşvik etmek için, kötü amaçlı önyükleyicinin yeniden başlatılmasında yürütülmesini sağlamak:-
NtRaiseHardError(STATUS_HOST_DOWN, 0, 0, NULL, OptionShutdownSystem, &Response);Bu kaza hilesi, UEFI bileşeninin güvenli önyükleme uygulaması altında çalıştığını veya modası geçmiş sistemlerde güvenli bagajı atladığını garanti eder.
Yeniden başlatıldıktan sonra EFI uygulaması bulunur \EFI\Microsoft\Boot\configşifreleme bayrağını ve şubeleri şifreleme veya şifre çözme mantığına dönüştürür.
Şifre çözme için kurban 32 karakterlik bir anahtar girmelidir; EFI bootkit daha sonra verify Dosya ve düz metin bir dizi 0x07 bayt eşleşiyorsa, MFT ve meşru önyükleyicileri geri yüklemeye devam eder. .old yedekler.
Bu kalıcılığı doğrudan ürün yazılımı katmanına yerleştirerek Hybridpetya, fidye yazılımlarının standart işletim sistemi seviyesi iyileştirme araçları tarafından kaldırılmamasını, esnekliğini yükseltmesini ve ürün yazılımı hedefli tehditlerde bir kilometre taşı olarak çerçevelemesini sağlar.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.