New MoonBounce UEFI zararlısı nedir

PC güvenliği konusundaki bilgi paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
velociraptor
Yottabyte4
Yottabyte4
Mesajlar: 37665
Kayıt: 14 Mar 2006, 02:33
cinsiyet: Erkek
Has thanked: 453 time
Been thanked: 262 time

New MoonBounce UEFI zararlısı nedir

Mesaj gönderen velociraptor »

Resim

Güvenlik analistleri, şimdiye kadarki en gelişmiş " UEFI ürün yazılımı zararlısı olan MoonBounce'ı keşfetti , şüpheler çinli APT41 hacker grubunu (Winnti olarak da bilinir) işaret ediyor. APT41 , en az on yıldır aktif olan ve öncelikle çeşitli endüstri sektörlerindeki yüksek profilli kuruluşlara karşı gizli siber casusluk operasyonlarıyla tanınan, kötü şöhretli bir bilgisayar korsanlığı grubudur. MoonBounce'ı kaspersky araştırmacıları bulup hakkında ayrıntılı bir teknik rapor yayınladılar.

Gelişmiş bir UEFI implantı

UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arabirimi), bilgisayar sistemlerinde işletim sistemi (OS) ve bellenim yazılımının arabirimine yardımcı olan teknik bir özelliktir. Bellenime "UEFI bootkit" adı verilen kötü amaçlı kod ekleyebilmek, Antivirüslerden ve işletim sistemi düzeyinde çalışan tüm güvenlik araçlarından gizli kalmanın mükemmel bir yoludur. bu saldırı türü , FinFisher kötü amaçlı yazılımı ve ESPecter arka kapısı olmak üzere iki yeni örnekle daha önce denendi.

Genellikle bu araçlar, önyükleme sırasını ele geçirir ve işletim sistemi güvenlik bileşenlerinden önce başlatılır. Diskte ayrılmış bir alan gibi silinemeyen alanlara yuva yaparlar ve silinmeleri zordur. MoonBounce de, yerleştirme yeri anakartın SPI flash belleğindedir, bu nedenle bir sabit disk değişimi bile onu devre dışı bırakamaz. Bağcıklı bellenim bileşeni, UEFI önyükleme sırasının erken aşamasında çağrılan CORE_DXE'dir.

Resim

Kaspersky raporunda , "Enfeksiyonun kaynağı, EFI Önyükleme Hizmetleri Tablosundaki AllocatePool, CreateEventEx ve ExitBootServices gibi çeşitli işlevlerin yürütülmesini engelleyen bir dizi kanca ile başlar" diye açıklıyor. "Bu kancalar, bu işlevlerin akışını, saldırganlar tarafından CORE_DXE görüntüsüne eklenen kötü amaçlı kabuk koduna yönlendirmek için kullanılır ve bu da, önyükleme zincirinin sonraki bileşenlerinde, yani Windows yükleyicide ek kancalar kurar."

"Bu çok aşamalı kanca zinciri, sistem başlatma sırasında CORE_DXE görüntüsünden diğer önyükleme bileşenlerine kötü amaçlı kodun yayılmasını kolaylaştırarak, Windows çekirdeğinin bellek adres alanına kötü amaçlı bir sürücünün girmesine izin verir." Bu sürücü, işletim sistemi çekirdeği başlatma sırasında çalışır ve kötü amaçlı yazılımı bir svchost.exe işlemine enjekte eder. Kötü amaçlı yazılım, bilgisayar çalışır duruma gelir gelmez tamamen başlatılır. Ardından, sabit kodlanmış bir C2 URL adresiyle iletişim kurar ve bellekte çalışacak olan sonraki aşama zararlısını yüklemeye çalışır. Kaspersky, analiz için denediğinde dışardan alması gerek zararlının indiğini gözlemleyemedi veya ilk etapta UEFI ürün yazılımına tam olarak nasıl bulaştığını çözemedi.

Zararlının hedefleri ve hedefleri

Telemetri verileri, bu saldırıların yüksek oranda hedef alındığını ve Kaspersky'nin yalnızca tek bir durumda üretici yazılımı kök setini tespit ettiğini ortaya koyuyor.

Resim

Ancak Kaspersky, aynı ağdaki diğer makinelerde birden fazla kötü amaçlı yazılım örneği ve yükleyici buldu, ancak bunlar UEFI olmayan implantlardı. Örnekler arasında Microcin arka kapısı, Mimikat kimlik bilgisi hırsızı, Go implantı, StealthMutant yükleyici ve ScrambleCross kötü amaçlı yazılımı sayılabilir.

Resim

Kimin hedef alındığına gelince, güvenlik firması, ulaşım teknolojisi ile uğraşan birkaç işletmenin kontrolünde olan bir organizasyondan söz ediyor. Düşmanların ana hedefi, ağ içinde uzun bir dayanak oluşturmak ve değerli verileri C2 sunucusuna sızdırarak siber casusluk yapmaktı.Bu bağlamda, APT41 operatörleri analitik ağ keşfi gerçekleştirdi ve mümkün olan yerlerde yanlamasına hareket ederken aynı zamanda kötü niyetli faaliyetlerinin izlerini de sildi.

APT41 hala çok etkili

Kaspersky, ScrambleCross kötü amaçlı yazılımının dağıtımından , APT41 etkinliğine ilişkin önceki FBI raporlarıyla eşleşen C2 sunucularından alınan benzersiz sertifikalara kadar, MoonBounce'ı APT41'e bağlayan birçok kanıt buldu .

ABD Adalet Bakanlığı Eylül 2020'de beş APT41 üyesini belirleyip suçlarken, MoonBounce'ın varlığı ve etrafındaki operasyon, tehdit aktörlerinin yasal baskıdan yılmadığını kanıtlıyor. APT41, en aşılmaz kurumsal ağları bile atlayan kaçma araçları geliştirebilen sofistike bir tehdit aktörü olmaya devam ediyor. UEFI tehditlerinin artık daha fazla çekiş kazanmasıyla Kaspersky, MoonBounce veya benzeri kötü amaçlı yazılım kullanan saldırganlara karşı savunmak için potansiyel olarak aşağıdaki önlemleri almalarını tavsiye ediyor:

- Varsayılan olarak Güvenli Önyüklemeyi Etkinleştir

- Ürün yazılımını düzenli olarak güncelleyin

- BootGuard'ın etkin olduğunu doğrulayın

- Güven Platformu Modüllerini Etkinleştir

Kaynak:
https://www.bleepingcomputer.com/news/s ... d-attacks/
Cevapla