hadicanim
Aktif Üye
Linux için UEFI önyükleme kiti “Bootkitty” görünüşe göre Güney Kore'den bir üniversite projesi
UEFI'ye (Birleşik Genişletilebilir Ürün Yazılımı Arayüzü) entegre olan ve güvenlik önlemlerini atlamayı amaçlayan, yakın zamanda ortaya çıkan bir Linux önyükleme kitinin, görünüşe göre Güney Koreli bilim adamlarının bir projesi olduğu anlaşılıyor. Geçen hafta çeşitli analizlerle kamuoyunun bilgisine sunuldu ancak Kasım ayının başından bu yana kötü amaçlı yazılım analiz platformu VirusTotal'da dolaşıyor. Kullanılabilir bir kötü amaçlı yazılım değil, bir “kavram kanıtı”dır.
Reklamcılık
Kasım ayının başında, güvenlik şirketi ESET'in çalışanları VirusTotal'da yeni bir kötü amaçlı yazılım türünün bir kopyasını buldu ve birkaç hafta sonra, rootkit araştırma topluluğunun üyeleri neredeyse aynı dosyalara rastladı. Diğer şeylerin yanı sıra açık bir web sunucusunda çağrılan bir dosya buldular bootkit.efi ve bir Linux rootkit'in parçaları. Topluluk üyeleri rootkit'i analiz etti ve kendi kabuk kodlarını çalıştırmak için temel işlevleri buldu. Ancak, bootkit dosyasına yalnızca yüzeysel olarak baktılar ve ayrıca iki BMP görüntü dosyasını da büyük ölçüde görmezden geldiler.
ESET uzmanları ise dosyayı özellikle dikkatle inceledi. bootkit.efi. Analizlerine göre, deneysel Linux kötü amaçlı yazılımı önyükleme sürecine bağlanıyor ve orijinal Grub önyükleyicisini, çekirdeğin EFI yükleme mekanizmasını ve çekirdeğin kendisini değiştiriyor. Bootkitty'nin kodunda yerleşik sabit adresler olduğundan, manipülasyon yalnızca birkaç çekirdekte ve grub sürümlerinde çalışır. Önyükleme kitinin analiz edilen sürümü yalnızca belirli Ubuntu sürümleri altında kullanılabilir. Ayrıca ESET araştırmacıları, önyükleme kitinin kendisini sisteme bağımsız olarak yerleştiremeyeceğini, ancak kullanıcıdan izin istemesi gerektiğini belirtti.
Truva BMP atı
Binarly'nin üçüncü analizi bununla çelişiyor. “LogoFail” boşluğunu keşfedenler, BMP formatında iki farklı boyuttaki görüntü dosyası bulduklarında şüphelendiler; bunlardan birinin boyutu 16 MB'ın üzerindeydi ve anlamlı bir şekilde adlandırılmıştı. logofail.BMP. Ve aslında: Bir sökücüye yüklenen görüntü, gizli kargosunu açığa çıkardı: LogoFail istismarını kullanarak UEFI'ye kod imzalama için kendi sertifikasını veren ve böylece “Güvenli Önyükleme” sürecini atlatan kabuk kodu.
Bootkitty güvenli önyükleme işlemini bu şekilde atlıyor
(Resim: ikili araştırma)
Bootkitty seçicidir
Tüm cihazlar ve UEFI modülleri çok aşamalı saldırıya karşı savunmasız değildir. Binarly araştırmacılarına göre bunlar arasında Acer, Lenovo, HP ve Fujitsu marka cihazlar yer alıyor. Ürün yazılımı üreticisi Insyde Software tarafından yayımlananlar gibi LogoFail güvenlik açığına yönelik yamalar da Bootkitty rootkit'i durdurur; yama uygulanmamış cihazlar savunmasız olabilir. Binarly uzmanlarına göre bunu öğrenmenin tek yolu denemek. Rootkit yazarları, kötü amaçlı kodlarında Lenovo cihazlarına göre uyarlanmış bir görüntü dosyasını ve montaj kodunu gizlemişlerdi.
Yine de yazarların başarısı dikkate değer: ilk defa, özellikle güvenli UEFI önyükleme sürecine bağlanabilen ve bir Linux sistemine bulaşabilen bir rootkit geliştirdiler. Önceki UEFI önyükleme kitleri Windows bilgisayarlara odaklanmıştı.
Güney Kore'den araştırma projesi
Fidye yazılımı çetesi gibi profesyonel suçluların, kötü amaçlı yazılımlarının yeni nesli olarak önyükleme kitini geliştirip geliştirmedikleri sorusu da açıklığa kavuşturuldu. Haberler güvenliği, Güney Koreli olduğunu doğrulayan geliştiricilerden biriyle konuştu. Yazar ekibi, KITRI (Kore Bilgi Teknolojileri Araştırma Enstitüsü) adlı Güney Koreli bir BT enstitüsünün “En İyinin En İyisi” (BoB) adlı sürekli eğitim programının bir parçasıdır. İlk analizlerden birinde, parçalara ayrılan kaynak dosyalardaki isim bilgileri zaten Kore kökenli olduğunu gösteriyordu.
Kullanıcılar ve yöneticiler için bu başlangıçta şu anlama gelir: her şey yolunda. BootKitty, siber suçlara yönelik yeni bir kötü amaçlı yazılım türü değil, daha ziyade bir öğrenci dönemi projesidir. Ancak karanlık köşelerden gelen taklitçilerin gelmesi uzun sürmez.
(cku)