PC’de oyun oynarken hile programları kullanıyorsanız, imzalı sürücülerdeki güvenlik açıkları en çok oyun hile geliştiricileri tarafından hile önleme mekanizmalarını atlatmak için kullanıldığı için bilgisayarınızı riske atıyor olabilirsiniz.
Ancak, ESET’in yeni bir raporuna göre bunların birkaç gelişmiş kalıcı tehdit (APT) grubu tarafından kullanıldığı da gözlemlendi. İnternet güvenlik şirketi yakın zamanda, çekirdek sürücülerinde yaygın olarak meydana gelen güvenlik açıklarının türlerine derinlemesine daldı ve hatta aynı anda popüler oyun yazılımlarında birkaç güvenlik açığı bulunan sürücü buldu.
İmzasız sürücüler veya güvenlik açıkları olanlar, genellikle kötü niyetli aktörler için Windows’un çekirdeğine yönelik korumasız bir ağ geçidi haline gelebilir. Windows 11 ve Windows 10’da kötü amaçlı, imzasız bir sürücüyü doğrudan yüklemek artık mümkün olmasa ve kök kullanıcı takımlarının geçmişte kaldığı düşünülse de, özellikle meşru, imzalı sürücüleri kötüye kullanarak Windows çekirdeğine kötü amaçlı kod yüklemenin hala yolları var. .
Aslında, donanım ve yazılım satıcılarından, çekirdeğe en az çabayla tam olarak erişmek için işlevsellik sunan birçok sürücü vardır. ESET, araştırması sırasında AMD’nin μProf profil yazılımında, popüler kıyaslama aracı Passmark’ta ve sistem yardımcı programı PC Analyzer’da güvenlik açıkları buldu. Neyse ki, etkilenen tüm programların geliştiricileri, ESET onlarla iletişime geçtikten sonra bu güvenlik açıklarını düzeltmek için yamalar yayınladı.
Kendi Savunmasız Sürücünüzü Getirin
Siber suçlular ve tehdit aktörleri tarafından Windows Çekirdeğinde kötü amaçlı kod çalıştırmak için kullanılan yaygın bir teknik, Kendi Güvenlik Açığı Sürücünüzü Getirin (BYOVD) olarak bilinir. ESET’te kıdemli kötü amaçlı yazılım araştırmacısı Peter Kálnai, bir basın açıklamasında bu teknik hakkında daha fazla ayrıntı verdi ve şunları söyledi:
“Kötü amaçlı yazılım aktörlerinin, sürücü imza zorlaması uygulanmış x64 sistemlerinde Windows çekirdeğinde kötü amaçlı kod çalıştırması gerektiğinde, savunmasız bir imzalı çekirdek sürücüsü taşımak bunu yapmak için uygun bir seçenek gibi görünüyor. Bu teknik, BYOVD olarak kısaltılan Kendi Savunmasız Sürücünüzü Getirin olarak bilinir ve hem yüksek profilli APT aktörleri hem de emtia kötü amaçlı yazılımlarında vahşi ortamda kullanıldığı gözlemlenmiştir.
BYOVD kullanan kötü niyetli aktörlere örnek olarak, ana modülleri Cahnadr’ı, savunmasız imzalı çekirdek sürücüleri tarafından yüklenebilen bir çekirdek modu sürücüsü olarak uygulayan Slingshot APT grubu ve ESET araştırmacılarının 2018’de keşfettiği InvisiMole APT grubu sayılabilir. RobinHood fidye yazılımı sürücü imza zorlamasını devre dışı bırakmak ve kendi kötü niyetli sürücüsünü kurmak için savunmasız bir GIGABYTE anakart sürücüsünden yararlanan başka bir örnek.
uzunca Blog yazısı ESET, basın açıklamasına ek olarak, sanallaştırma tabanlı güvenlik, sertifika iptali ve sürücü engelleme listesinin, kötü niyetli aktörler tarafından kaçırılan imzalı çekirdek sürücülerinin oluşturduğu tehlikelerden endişe edenler için yararlı azaltma teknikleri olduğunu açıkladı.
Ayrıca altını çizdik en iyi kötü amaçlı yazılım temizleme yazılımı, en iyi uç nokta koruma yazılımı ve en iyi antivirüs