Görüntü: Jeff Hardi
Yeni keşfedilen ve önceden belgesiz bir UEFI (birleşik genişletilebilir ürün yazılımı arayüzü) Bootkit, 2012'den beri Windows Boot Manager'ı kaçırarak saldırganlar tarafından arka kapı Windows sistemlerine yöneliktir.
Bootkits, yazılım sisteminde çalışan güvenlik yazılımına (bazen UEFi'yi hedefleyen), kötü amaçlı yazılımlar, önyükleme dizisinin ilk aşamasında her şeyden önce yüklemek için tasarlandığından, işletim sistemi içinde çalışan güvenlik yazılımına görünmeyen kötü amaçlı kodlardır.
Bir işletim sisteminin önyükleme işlemi üzerinde kalıcı ve kontrol ile tehdit aktörleri sunarlar, sistem önyükleme güvenlik modu düzgün bir şekilde yapılandırılmamışsa, güvenli önyükleme mekanizmasını atlatmayı mümkün kılar. 'Kapsamlı önyükleme' veya 'tam önyükleme' modunu etkinleştirmek, NSA'nın açıkladığı gibi kötü amaçlı yazılımları engelleyecektir).
Bootkit, ESET araştırmacıları tarafından belirlenen ESET araştırmacıları tarafından Dubter, EFI sistem bölümü (ESP), Windows sürücüsü imza uygulayıcısını atlamak için kendi imzasız sürücüsünü yükleyerek, EFI sistem bölümünde (ESP) devam ediyor.
"ESET Security Araştırmacılar Martin Smolár ve Anton Cherepanov," Keylogging ve belge çalma işlevlerine sahip bir kullanıcı modu istemci bileşeni ile birlikte, bir kullanıcı modu istemci bileşeni ile birlikte, ESPECTER, ESET Security Araştırmacıları Martin Smolár ve Anton Cherepanov, "Especter'ın esas olarak kullanıldığı" dedi.
"İlginç bir şekilde, bu tehdidin köklerini en az 2012'ye kadar takip ettik, daha önce eski biyoglara sahip sistemler için bir bootkit olarak faaliyet gösteriyoruz."
Ödünsel Windows bilgisayarlarda konuşlandırılan kötü amaçlı sürücü, ek kötü amaçlı yazılımları indirip yürütebilecek iki yükleme yükünü (WinSys.dll ve Client.dll) yüklemek için kullanılır.
Winsys.dll, bir güncelleştirme aracısıdır, bileşen daha fazla komut veya daha kötü amaçlı yükler için komut-kontrol (C2) sunucusuna ulaşmak için kullanılır.
Araştırmacılar buldukça, Winsys.dll, sistem bilgisini çözebilir, C2 sunucusundan indirilen diğer kötü amaçlı yazılımları başlatabilir, ExitProcess'u (yalnızca Windows Vista'da) kullanarak PC'yi yeniden başlatın ve yeni yapılandırma bilgisi alın ve kayıt defterine kaydedin.
Client.dll, ikinci yükü, keylogging, belge çalma ve ekran görüntüleri ile ekran izlemesi dahil, otomatik veri exfiltrasyon özelliklerine sahip bir arka kapı olarak işlev görür.
ESET ayrıca, eski önyükleme modlarını hedefleyen ve sistem disk sürücüsünün ilk fiziksel sektöründe bulunan MBR kodunu değiştirerek kalıcılık elde eden ESPECTER versiyonlarını buldu.
Windows Önyükleme Yöneticisi'ni (Bootmgfw.EFI) yamalama, güvenli önyüklemeyi gerektirir (bu, PC'nin güvenilir ürün yazılımı kullanıp kullanmayacağını kontrol etmeye yardımcı olur) devre dışı bırakılacak.
Araştırmacıların keşfedildiğinden, saldırganlar Bootkit'i vahşi doğada kullandılar, bu da hedeflenen cihazlarda güvenli önyüklemeyi geçiş yapmak için bir yöntem buldukları anlamına gelir.
Şu anda, Operatör operatörlerinin bunu nasıl elde ettiğine dair hiçbir ipucu yoktur, birkaç olası senaryo vardır:
Halka açık belgelenmiş saldırılar vahşi doğada son derece nadirdir - Finspy bootkit, casus yazılımları yüklemek için kullanılan, Rus sırtındaki Apt28 Hacker Grubu, Çince konuşan bilgisayar korsanları tarafından kullanılan MOSAICREGREGREGREGREGREGREGSOR ve Trickbot Gang tarafından kullanılan Trickboot modülü.
"Especter, tehdit aktörlerinin sadece UEFI üretici yazılımı implantlarına dayandığını ve, UEFI güvenli önyüklemesi gibi mevcut güvenlik mekanizmalarına rağmen, zamanlarını bu tür mekanizmaların kolayca engellenebilecek kötü amaçlı yazılım yaratmasına rağmen, etkin ve doğru yapılandırıldı. "
Sistemlerinizi ESPECTER gibi bootkits kullanan saldırılara karşı korumak için, şunları yapmanız önerilir:
ESETCER BOOTKIT ile ilgili diğer teknik detaylar ve uzlaşma göstergeleri ESET'in raporunda bulunabilir.
Microsoft: Nobelium, Backdoor Windows Etki Alanlarına Özel Kötü Amaçlı Yazılım Kullanıyor
Ghostemperor Hackers, Saldırılarda Yeni Windows 10 Rootkit'i kullanıyor
Solarwinds Hackers tarafından geliştirilen yeni tomiris backdoor muhtemelen
Finfisher Kötü Amaçlı Yazılım UEFI Bootkit ile Windows Boot Manager Hijacks
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Kaynak: Bleeping Computer