CosmicStrand: Bir UEFI rootkit’i

Uzmanlarımız UEFI ürün yazılımı içerisinde araştırmacılardan saklanan CosmicStrand rootkit’inin yeni bir sürümünü keşfetti.

Araştırmacılarımız, bilgisayar açıldığında ilk yüklenen ve işletim sisteminin önyükleme sürecini başlatan kod olan UEFI‘nin (Birleşik Genişletilebilir Ürün Yazılımı Arabirimi) değiştirilmiş halinde buldukları yeni bir CosmicStrand rootkit’i sürümünü inceledi.

UEFI kötü amaçlı yazılımlarının tehlikesi

UEFI ürün yazılımı anakarttaki bir çipte gömülü olduğu ve sabit diske yazılı olmadığı için sabit disk manipülasyonlarına karşı bağışıklığa sahip. Bu yüzden UEFI tabanlı kötü amaçlı yazılımlardan kurtulmak çok zor. Sürücüyü silip işletim sistemini yeniden yüklediğinizde bile UEFI’ye hiç dokunmamış oluyorsunuz. Aynı sebepten ötürü her güvenlik çözümü UEFI’de gizlenen kötü amaçlı yazılımları tespit edemiyor. Basitçe söylemek gerekirse kötü amaçlı bir yazılım ürün yazılımına ulaşmayı başarırsa orada kalıcı oluyor.

Elbette UEFI’ye virüs bulaştırmak kolay değil. Bunun için ya cihaza fiziksel erişim ya da ürün yazılımına uzaktan virüs bulaştırmaya yönelik karmaşık bir mekanizma gerkiyor. Dahası, kötü amaçlı yazılım nihai hedefi her neyse ona ulaşmak için yalnızca UEFI’de kalmıyor, açılışta işletim sistemine sızıyor. Bu da işleri daha karmaşık hale getiriyor. Tüm bunları gerçekleştirmek büyük çaba istiyor. Dolayısıyla bu tür kötü amaçlı yazılımlarla genellikle yüksek profilli kişi veya kurumlara karşı düzenlenen hedefli saldırılarda karşılaşıyoruz.

CosmicStrand’in kurbanları ve olası bulaşma vektörleri

Enteresan şekilde araştırmacılarımız tarafından tespit edilen CosmicStrand kurbanları ücretsiz antivirüsümüzü kullanan sıradan insanlardı. Bu kalibredeki saldırganların ilgisini çekecek herhangi bir kuruluşla ilgileri yoktu. Ayrıca bilinen vakaların hepsinde virüs bulaşan anakartların yalnızca iki üreticiden geldiği ortaya çıktı. Bu yüzden, saldırganların bu anakartlarda UEFI’ye virüs bulaştırmayı mümkün kılan ortak bir güvenlik açığı bulmuş olma olasılığı yüksek.

Siber suçluların kötü amaçlı yazılımı tam olarak nasıl bulaştırdığı bilinmiyor. Bu CosmicStrand kurbanlarının büyük hedefler olmaması, bu rootkit’in arkasındaki saldırganların UEFI’ye uzaktan virüs bulaştırabildiğinin göstergesi olabilir. Ancak başka olası açıklamalar da var. Örneğin, 2016’daki ilk CosmicStrand sürümlerini inceleyen Qihoo 360 uzmanları, kurbanlardan birinin bir aracıdan modifiye edilmiş bir anakart satın aldığını öne sürmüştü. Fakat bu olayda uzmanlarımız herhangi bir bulaştırma yöntemini doğrulayamadı.

CosmicStrand ne yapıyor

CosmicStrand’in ana hedefi, işletim sistemi başlatılırken kötü amaçlı bir program indirmek. Bu program daha sonrasında saldırganların belirlediği görevleri yerine getiriyor. İşletim sisteminin önyüklenme sürecinde tüm aşamaları başarıyla geçen rootkit, sonunda bir kabuk kodu yürüterek saldırganların C2 sunucusuyla iletişime geçiyor ve buradan kötü amaçlı bir yük alıyor.

CosmicStrand rootkit'inin bulaşma zinciri

 

Araştırmacılarımız rootkit’in C2 sunucusundan aldığı dosyayı ele geçiremedi. Ancak virüslü makinelerden birinde ComicStrand ile ilişkili olması muhtemel bir kötü amaçlı yazılım parçası buldular. Bu kötü amaçlı yazılım, işletim sisteminde yerel yönetici haklarına sahip “aaaabbbb” adlı bir kullanıcı yaratıyor. CosmicStrand hakkında daha fazla teknik detay için araştırmacılarımızın Securelist’deki gönderisini inceleyebilirsiniz.

Rootkit’lerden korkmalı mıyız?

CosmicStrand 2016’dan beri bilgi güvenliği araştırmacılarının pek dikkatini çekmeden siber suçlulara hizmet ediyor. Bu elbette endişe verici, fakat tamamen kötü de değil. Birincisi, bazen görünüşte rastgele kişilere bulaşsa da bu kitlesel değil, hedefli saldırılar için kullanılan karmaşık ve pahalı bir kötü amaçlı yazılım örneği. İkincisi, bu tür kötü amaçlı yazılımları tespit edebilen güvenlik ürünleri var. Örneğin bizim güvenlik çözümlerimiz kullanıcılarımızı rootkit’lerden koruyor.

İpuçları