Oyun
Trendler

Araştırmacılar, Modern UEFI Anakartlarını Hedef Alan İlk Rootkit’i Keşfetti

Rootkit, dizüstü bilgisayarlar için LoJack kurtarma yazılımının savunmasız bir sürümüne dayanıyor.

Güvenlik araştırmaları, Windows Unified Genişletilebilir Ürün Yazılımı Arabirimi’ni (UEFI) hedefleyen ilk bilinen örneğini bulduğunu söylüyor; bu, birçok kişinin hala (yanlış) BIOS olarak adlandırdığı kod parçası.

UEFI bellenimi, geleneksel BIOS veya Temel Giriş / Çıkış Sistemini büyük ölçüde değiştirmiştir, çünkü birkaç avantajı vardır – gezinme ayarlarını kolaylaştıran, daha büyük depolama sürücülerinden önyükleme yapılmasını sağlayan sistemlerin daha güvenli olmasını sağlar ve en önemlisi daha güvenlidir. . Geek , UEFI ile geleneksel BIOS yongaları arasındaki farkların oldukça iyi bir dağılımını gösteriyor, ancak bunlar ana konular.

Rootkit’ler, sistemlere derin seviyelerde saldıran kötü amaçlı yazılım türleridir. İşletim sisteminden önce yükledikleri için, genellikle tespit edilmesi ve çıkarılması zor olan farklı tipte kök setleri vardır.

Son güvenlik konferansında, ESET’te kötü amaçlı bir araştırmacı olan Frédéric Vachon, başarılı saldırılarda UEFI sistemlerini hedef alan vahşi yaşamda ilk kez bir rootkit örneğinin keşfedilmesinden bahsetti.

Vachon , “UEFI rootkitleri son birkaç yılda yoğun bir şekilde araştırıldı ve tartışıldı, ancak aktif olarak bu seviyedeki sistemleri tehlikeye atmaya çalışan gerçek kampanyalara dair çok sayıda kanıt sunuldu.” Dedi .

Araştırmacılar, rootkit LoJax’ı seçti çünkü Absolute Software’in çalınan dizüstü bilgisayar kurbanlarının kurban edilmiş sistemlerini sessizce izlemelerine ve konumlandırmalarına yardımcı olmaları beklenen Absolute Software’in LoJack kurtarma yazılımının sürümüne dayanıyor.

LoJack bunu, işletim sistemi yüklenmeden önce ve herhangi bir antivirüs yazılımı başlatılmadan önce kod çalıştırarak mümkün kılar. Dolayısıyla, bir hırsız çalınan dizüstü bilgisayarın depolama sürücüsünün yerine geçse bile, LoJack yerini hala hak sahibine atıyor.

Aynı şey, LoJack’in kolayca değiştirilebilen hassas bir 2009 versiyonuna dayanan LoJax için de geçerlidir. Birçok kötü amaçlı yazılım türünde olduğu gibi, dağıtma işlemi bir kimlik avı e-postasıyla başlar veya bir kullanıcıyı bir damlalık aracı indirme ve yükleme konusunda kandırmaya başlar.

Vachon, “Makineye ayak bastığımda UEFI rootkit’ini dağıtmak için bu aracı kullanabilirim” dedi.

ESET bu konuda geçen yılın eylül ayında yazdı. ESET, bazı UEFI rootkit’lerinin kavram kanıtı olarak sunulduğunu, diğerlerinin ise devlet kurumları tarafından kullanıldığı biliniyor.

ESET, “Ancak vahşi ortamda hiçbir UEFI kök seti tespit edilmedi – Sednit APT grubu tarafından bir mağdurun sistemine kötü niyetli bir UEFI modülünü başarıyla yerleştiren bir kampanya hazırlayana kadar” dedi .

Sednit ajanlarının LoJax’ı geçen yılın Mayıs ayına kadar geliştirdiği biliniyor, ancak Eylül ayında canlı kampanyalarda ilk kez tespit edildi. Umarım bu, 2019’da bir trend haline gelmez.

Etiketler
Daha fazla Göster

İlgili Haberler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Close
Close