Makaleler
Haberler
Etkinlikler
Röportajlar
Editörden

Üçüncü Parti Donanım Yazılımı Ön Yükleme Seti Tehdidi Yükselişe Geçti

Share
25/01/2022 tarihinde yayınlandı

Üçüncü Parti Donanım Yazılımı Ön Yükleme Seti Tehdidi Yükselişe Geçti

Kaspersky araştırmacıları, ortalıkta serbestçe gezen üçüncü bir firmware (donanım yazılımı) bootkit vakasını ortaya çıkardı. MoonBounce olarak adlandırılan bu kötü niyetli eklenti, bilgisayarların önemli bir parçası olan Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) bellenimi içinde, sabit sürücüler için harici depolama bileşenlerine ait SPI flaşındagizleniyor. Bu tür eklentilerin ortaya çıkarılması oldukça zor ve güvenlik ürünleri tarafından görünürlükleri son derece sınırlı. Serbest ortamda ilk kez 2021 baharında ortaya çıkan MoonBounce, daha önce bildirilen UEFI üretici yazılımı önyükleme setlerine kıyasla belirgin bir ilerlemeye ve sofistike bir saldırı akışına sahip. Kampanya, çok büyük olasılıkla iyi bilinen gelişmiş kalıcı tehdit (APT) aktörü APT41 ile ilişkilendiriliyor.

UEFI sabit yazılımı, bilgisayarların büyük çoğunluğunda kritik bir bileşendir. Taşıdığı kodlar cihazı başlatmaktan ve kontrolü işletim sistemini yükleyen yazılıma geçirmekten sorumludur. Bu kod, sabit disklere dair harici kalıcı bir depolama alanı olan SPI flash içinde gizleniyor. Bu alan kötü amaçlı kod içeriyorsa, kod işletim sisteminden önce başlatılıyor.Bu nedenle sabit sürücüyü yeniden biçimlendirmekveya işletim sistemini yeniden yüklemek enfeksiyondan kurtulmaya yetmiyor. Dahası kod sabit sürücünün dışında bir yerde bulunduğundan, bu tür önyükleme setlerinin etkinliğiözellikle aygıtın ilgili bölümünü tarayan bir güvenlik çözümü söz konusu olmadıkçaalgılanamıyor.

MoonBounce, bugüne dek ortalıkta serbestçe dolaştığı bildirilen üçüncü UEFI bootkiti oldu. Bootkit2021 baharında ortaya çıktı ve ilk olarak Kaspersky araştırmacıları tarafından, UEFI ürün yazılımı görüntüleri de dahil olmak üzere ROM BIOS'ta saklanan tehditleri özellikle tespit etmek için 2019'un başından beri Kaspersky ürünlerine dahil edilen Firmware Scanner etkinliğine bakarken keşfedildi. Daha önce keşfedilen LoJax ve MosaicRegressor boot kitleriyle karşılaştırıldığında MoonBounce daha karmaşık bir saldırı akışına ve daha fazla teknik gelişmişliğe sahip oluşuyla öne çıkıyor.

Söz konusu eklenti, UEFI önyükleme sırasında erkenden çağrılan bellenimin CORE_DXE bileşeninde yer alıyor. Ardındaneklentinin bileşenleri belirli işlevleri engelleyen bir dizi kanca aracılığıylaişletim sistemine giriyor ve burada daha fazla kötü amaçlı yükleri almak için bir komuta ve kontrol sunucusuna ulaşıyor. Bileşenler yalnızca bellekte çalıştığındanenfeksiyon zincirinin kendisi sabit sürücüde herhangi bir iz bırakmıyor.

MoonBounce'ı araştırırken Kaspersky araştırmacıları, aynı ağın birkaç düğümünde birkaç kötü amaçlı yükleyiciyi ve kullanım sonrası için ayrılmış kötü amaçlı yazılım ortaya çıkardı. Bunabilgi alışverişi yapmak ve ek eklentileri yürütmek için C2 sunucusuyla iletişim kurabilen bir bellek içi eklenti olan ScrambleCross veya Sidewalk, kimlik bilgilerini ve güvenlik sırlarını aktarmak için kullanılankamuya açık sömürü aracı Mimikat_ssp, önceden bilinmeyen Golang tabanlı arka kapı ve genellikle SixLittleMonkeys tehdit aktörü tarafından kullanılan kötü amaçlı yazılım olan Microcin dahil oluyor. MoonBounce bu kötü amaçlı yazılım parçalarını indirebildiği gibi,söz konusu kötü amaçlı yazılım parçalarından birinin daha önce sisteme bulaşmasımakineyi tehlikeye atmanın bir yolu olarak da hizmet edebiliyor. Böylece MoonBounce ağda yer edinebiliyor.

MoonBounce için başka bir olası bulaşma yöntemi, hedef şirkete teslim edilmeden önce makinenin güvenliğinin ihlal edilmesi şeklinde ortaya çıkıyor. Her iki durumda bulaşmanın hedeflenen makineye uzaktan erişim yoluyla gerçekleştiği düşünülüyor. Ek olarak, LoJax ve MosaicRegressorDXE sürücülerine eklenti yerleştirirken, MoonBounce daha incelikli ve daha gizli bir saldırı için mevcut bir üretici yazılımı bileşenini değiştirme yoluna gidiyor.

Söz konusu ağa karşı yürütülen genel kampanyadasaldırganların dosyaları arşivlemek ve ağ bilgilerini toplamak gibi çok çeşitli eylemler gerçekleştirdikleri açık olarak tespit edildi. Saldırganların faaliyetleri boyunca kullandıkları komutlar, yanal hareketler ve verilerin sızdırma girişimleri için UEFI eklentisinikullanmaları bunun bir casusluk faaliyeti olabileceği ihtimalini güçlendiriyor.

Kaspersky, MoonBounce'ı çok yüksek ihtimalle en az 2012'den beri dünya çapında siber casusluk ve siber suç kampanyaları yürüten, Çince konuşan bir tehdit aktörü olduğu geniş çapta bildirilen APT41'e bağlıyor. Aynı ağ, APT41 ile Çince konuşan diğer tehdit aktörleri arasında olası bir bağlantı olduğunu da öne sürüyor.

Şimdiye kadarbellenim önyükleme seti, yüksek teknoloji pazarındaki bir holding şirketinin tek bir makinesinde bulundu.Ancak, diğer bağlantılı kötü niyetli örneklere (ScrambleCross ve yükleyicileri gibi) birkaç başka ağda da rastlandı.

GReAT Kıdemli Güvenlik Araştırmacısı Denis Legezo, şunları söyledi:“MoonBounceüzerinde yaptığımız araştırmalar sırasında bulunan ek kötü amaçlı yazılım eklentilerini özellikle bağlayamasak da Çince konuşan bazı tehdit aktörleri, çeşitli kampanyalarına yardımcı olmak için söz konusu araçları birbirleriyle paylaşıyor gibi görünüyor.Özellikle MoonBounce ve Microcin arasında bir bağlantı olduğunu düşünüyoruz."

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Araştırmacısı Mark Lechtik de şunları aktarıyor: "En son UEFI önyükleme seti, 2020'de bildirdiğimiz MosaicRegressor ile karşılaştırıldığında aynı kayda değer ilerlemeleri gösteriyor. Aslındabellenimdeki önceden iyi huylu bir çekirdek bileşenini, sistemde kötü amaçlı yazılım dağıtımını kolaylaştırabilecek bir bileşene dönüştürmek önemli bir yenilik. Bunu önceki kıyaslanabilir bellenim önyükleme setlerinde görmemiştik ve tehdidi çok daha gizli hale getiriyor. 2018'de UEFI tehditlerinin popülerlik kazanacağını tahmin etmiştik, bu eğilim gerçekleşiyor gibi görünüyor. 2022'de ek bootkit'ler bulduğumuza şaşırmayacağız. Neyse ki dağıtıcılar donanım yazılımı saldırılarına daha fazla dikkat etmeye başladı. BootGuard ve Güvenilir Platform Modülleri gibi donanım yazılımı güvenlik teknolojileri yavaş yavaş benimseniyor."

MoonBounce'ın daha ayrıntılı bir analizi için Securelist'teki raporu okuyabilirsiniz.

MoonBounce gibi UEFI önyükleme setlerinden korunmak için Kaspersky şunları öneriyor:

  • SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın. KasperskyThreatIntelligence Portal, şirketin tehdit istihbaratıiçin 20 yılı aşkın süredir Kaspersky tarafından toplanan siber saldırı verileri ve öngörüleri sağlayan tek bir erişim noktasıdır.
  • Uç nokta düzeyinde algılama, olayların araştırılması ve zamanında düzeltilmesi için KasperskyEndpointDetectionandResponse gibi EDR çözümlerini uygulayın.
  • KasperskyEndpoint Security for Business gibi ürün yazılımının kullanımını algılayabilen sağlam bir uç nokta güvenlik ürünü kullanın.
  • UEFI donanım yazılımınızı düzenli olarak güncelleyin ve yalnızca güvenilir satıcıların donanım yazılımlarını kullanın.
  • Varsayılan olarak Güvenli Önyüklemeyi etkinleştirin.Uygun olduğunda BootGuard ve TPM'leri kullanın.
Share
İlginizi Çekebilecek Yazılar
%150 Büyüyen Fidye Yazılımı Saldırılarına Karşı Microsoft’tan Stratejik İş birliği Pandemiyle birlikte hız kazanan dijital dönüşüm, daha fazla büyümek isteyen şirketleri bulut hizmetlerine yöneltiyor. Artan bulut kullanımı ise fidye yazılımı saldırılarını ...
2019’da Türkiye’deki Bankacılık Zararlı Yazılımlarının Üçte Birinden Fazlası Kurumsal Kullanıcıları Hedef Aldı 2019’da Kaspersky çözümlerini kullanan 773.943 kişi bankacılık ile ilgili Truva atlarının saldırısına uğradı. Bunların üçte biri (yüzde 35,1) kurumsal kullanıcılar oldu. ...
2019’un En Yaygın Macos Tehdidi Shlayer: Binlerce Web Sitesinden Yayılan Zararlı Yazılım 2019’da Kaspersky, bir Truva atı ailesi olan Shlayer ile düzenlenen saldırıları önledi. Mac için Kaspersky çözümlerini kullanan her on cihazdan birinde ...

2020’de Fidye Yazılımlarından En Fazla Eğitim Sektörü Etkilendi Sophos, 2020 yılında dünya genelindeki eğitim kurumlarına yönelik fidye yazılım saldırılarının kapsamını ve etkisini ortaya koyan “Sophos State of Ransomware in ...
74 Ülkeyi Hedef Alan WannaCry Fidye Yazılım Saldırısı Hakkında Uzman Görüşü Uzun zamandır adım adım yaklaşan böyle bir saldırı bekleniyordu. Saldırının tüm farklı adımlarını daha önce başka saldırıların parçası olarak görmüştük ama ...
Astro Locker Team Adlı Yeni Bir Fidye Yazılımı Ailesi Keşfedildi Sophos, yeni keşfettiği Astro Locker Team fidye yazılımı ve bunun Mount Locker fidye yazılımıyla bağlantılarına dikkat çekerek kurumları bu yeni tehdide ...

Aygıt Yazılımı Önyükleme Kiti Olarak Bilinen Yazılım Türünü Kullanan Casusluk Eylemi Tespit Edildi Kaspersky araştırmacıları, aygıt yazılımı önyükleme kiti olarak bilinen ve çok nadir görülen bir kötü amaçlı yazılım türünü kullanan gelişmiş bir kalıcı ...
Kaspersky Takip Yazılımı Eğitimi İçin Interpol Ve Sivil Toplum Kuruluşlarıyla İşbirliği Yapıyor Ekim ayının dünyanın çeşitli ülkelerinde siber güvenlik ve aile içi şiddet konusunda farkındalığı artırma ayı olması nedeniyle kaspersky, polis memurlarına dijital ...
Covid-19 ve Siber Güvenlik: Salgının Siber Güvenliğe Etkisi ve Tehditler Covid-19 toplumun savunmasız bir döneminde hackerlar, saldırganlar ve dolandırıcılar için yeni bir araç oldu. Peki, bu tehlikeler neler? Dünya düzeni insanlık ...

Türkiye’deki Şirketlerin Yarısına Yakını Fidye Yazılımı Saldırısına Uğruyor! Araştırmalara göre son iki yılda yaklaşık 10 şirketten 4’ü bir fidye yazılım saldırısına maruz kalırken, Türkiye’de fidye yazılımı saldırısına uğradığını belirten ...
Türkiye’nin Verisi Türkiye’de Kalmalı Siber saldırılar bireysel kullanıcıdan kurumsal firmalara herkesin karşılaştığı bir sorun haline gelmiştir. Korsanlar fidye şifrelemeleri ile hem verileri çalmakta hem de ...
Facebook Koruması ve Facebook Profil Kitleme Özellikleri Türkiye’de Kullanıma Sunuluyor Meta, devam eden güvenlik iyileştirmelerinin bir parçası olarak iki yeni özelliğin Türkiye’de kullanıma sunulduğunu duyurdu. Facebook uygulamasında sunulacak özelliklerden ilki olan ...


Arama
Son Yazılar
Yapay Zekanin Kötüye Kullanimina Karşi kendi̇mi̇zi̇ Nasil Koruyabi̇li̇ri̇z Siber Suçluların Kişisel Verilerin Peşinden Koşmasının 7 Nedeni SAS, Özel Olarak Tasarlanmış Yapay Zeka Modelleriyle Sektörel Çözümlerini Genişletiyor Dolandırıcılar Toncoin Çalmak Için Telegram Kullanıcılarını Hedef Alıyor İş Yerlerinizi Yeni Nesil Dijital Güvenlik Ürünleriyle Koruyun Bi̇r Telefon Aramasinin Dolandiricilik Olduğunu Nasil Anlarsiniz? Fortinet 2023 Sürdürülebilirlik Raporunu Yayınladı İkinci El İş Makineleri Almanin Avantajlari Yenilenen SAS Viya, Müşterilerin Verimliliğini Artırmak Için Üretken Yapay Zekayı Kullanıyor Uzun Lafın Kısası: Kaspersky Kısaltılmış Url'lerin Ardındaki Tehditleri Ortaya Çıkarıyor
E-Bülten'e Kayıt Olun
Arşivler
Ağustos 2015Eylül 2015Ekim 2015Kasım 2015Aralık 2015Ocak 2016Şubat 2016Mart 2016Nisan 2016Mayıs 2016Haziran 2016Temmuz 2016Ağustos 2016Eylül 2016Ekim 2016Kasım 2016Aralık 2016Ocak 2017Şubat 2017Mart 2017Nisan 2017Mayıs 2017Haziran 2017Temmuz 2017Ağustos 2017Eylül 2017Ekim 2017Kasım 2017Aralık 2017Ocak 2018Şubat 2018Mart 2018Nisan 2018Mayıs 2018Haziran 2018Temmuz 2018Ağustos 2018Eylül 2018Ekim 2018Kasım 2018Aralık 2018Ocak 2019Şubat 2019Mart 2019Nisan 2019Mayıs 2019Haziran 2019Temmuz 2019Ağustos 2019Eylül 2019Ekim 2019Kasım 2019Aralık 2019 Ocak 2020Şubat 2020Mart 2020Nisan 2020Mayıs 2020Haziran 2020Temmuz 2020Ağustos 2020Eylül 2020Ekim 2020Kasım 2020Aralık 2020Ocak 2021Şubat 2021Mart 2021Nisan 2021Mayıs 2021Haziran 2021Temmuz 2021Ağustos 2021Eylül 2021Ekim 2021Kasım 2021Aralık 2021Ocak 2022Şubat 2022Mart 2022Nisan 2022Mayıs 2022Haziran 2022Temmuz 2022Ağustos 2022Eylül 2022Ekim 2022Kasım 2022Aralık 2022Ocak 2023Şubat 2023Mart 2023Nisan 2023Mayıs 2023Haziran 2023Temmuz 2023Ağustos 2023Eylül 2023Ekim 2023Kasım 2023Aralık 2023Ocak 2024Şubat 2024Mart 2024Nisan 2024
İletişim | Gizlilik | Kullanım Koşulları