Yeni bir kötü amaçlı yazılım türü, işletim sisteminize kesinlikle daha gizli ve kaldırılması zor bir yol açar – BIOS çipinizde saklanır ve böylece işletim sisteminizi yeniden yükledikten veya sabit sürücünüzü biçimlendirdikten sonra bile kalır.
Kaspersky, 2019’dan beri Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) ürün yazılımı kötü amaçlı yazılım tehditlerinin büyümesini gözlemledi ve çoğu kötü amaçlı yazılımın PC’nin depolama cihazının EFI Sistem Bölümünde depolandığı görüldü. Ancak, bir uğursuz gelişme Kasperksy’nin üretici yazılımı tarayıcı günlükleri tarafından tespit edilen ve anakartın Seri Çevre Birimi Arayüzü (SPI) Flash’ına kötü amaçlı kod yerleştiren yeni bir UEFI kötü amaçlı yazılımı ile Yeni Yıl boyunca tespit edildi. Güvenlik araştırmacıları, bu flash yerleşik UEFI kötü amaçlı yazılımına ‘MoonBounce’ adını verdiler.
MoonBounce, SPI flaşını hedefleyen vahşi doğada keşfedilen ilk UEFI kötü amaçlı yazılımı değil. Kaspersky, LoJax ve MosaicRegressor beğenilerinin ondan önce geldiğini söylüyor. Ancak MoonBounce, “daha karmaşık bir saldırı akışı ve daha fazla teknik gelişmişlik ile önemli bir ilerleme” gösteriyor. Ayrıca bir makineye uzaktan bulaşmış gibi görünüyor.
MoonBounce, bir sisteme girme biçiminde yadsınamaz bir şekilde akıllıdır ve kendisini algılamayı ve yok etmeyi zorlaştırır. Kaspersky, SecureList blogunda “Enfeksiyonun kaynağı, EFI Önyükleme Hizmetleri Tablosundaki çeşitli işlevlerin yürütülmesini engelleyen bir dizi kanca ile başlar” diye açıklıyor. Kancalar daha sonra işlev çağrılarını saldırganların CORE_DXE görüntüsüne ekledikleri kötü amaçlı kabuk koduna yönlendirmek için kullanılır. Güvenlik araştırmacıları, bunun da “önyükleme zincirinin sonraki bileşenlerinde, yani Windows yükleyicide ek kancalar oluşturduğunu” söyledi. Bu, bilgisayar Windows’ta önyüklendiğinde kötü amaçlı yazılımın bir svchost.exe işlemine enjekte edilmesini sağlar.
Ulaştırma Teknolojisi Şirketi Şimdiye Kadar Kaydedilen Tek Saldırı
Elbette Kaspersky, kötü amaçlı yazılımın bir sonraki adımda ne yapacağını görmekle ilgilendi. Böylece, virüslü bir makinede araştırmacılar, kötü amaçlı yazılım sürecinin bir sonraki aşama yükünü almak ve bellekte çalıştırmak için bir URL’ye erişmeye çalıştığını gözlemlediler. İlginç bir şekilde, karmaşık saldırının bu kısmı hiçbir yere gitmedi, bu nedenle MoonBounce’ta daha fazla adım analiz etmek mümkün değildi. Belki de bu kötü amaçlı yazılım tespit edildiğinde hala test aşamasındaydı ve/veya özel amaçlar için tutuluyor. Ek olarak, kötü amaçlı yazılım dosya tabanlı değildir ve en azından bazı işlemlerinin yalnızca bellekte gerçekleştirilmesi, MoonBounce’ın bir şirketin ağındaki tek ana bilgisayarda tam olarak ne yaptığını görmeyi zorlaştırır.
Bir nakliye şirketine ait olan tek bir makine, Kaspersky’nin günlüklerinde SPI Flash’ında MoonBounce enfeksiyonu bulunan tek makine gibi görünüyor. Enfeksiyonun nasıl meydana geldiği belli değil, ancak uzaktan başlatıldığı düşünülüyor. Bir ulaşım teknolojisi şirketindeki bu tek makine, UEFI olmayan kötü amaçlı yazılım implantlarını ağdaki diğer makinelere yaymış gibi görünüyor. Çalışmalarının çoğu dosyasız ve yalnızca bellekte yerleşik olduğundan, bu tek örnekten gözlemlemek kolay değil.
Aşağıda, bir akış şeması, MoonBounce’ın UEFI PC’nizin açıldığı andan, Windows yüklemesi yoluyla ve kullanılabilir ancak virüslü bir PC olarak nasıl başlatıldığını ve dağıtıldığını gösterir.
APT41 Parmak İzleri Algılandı
Kaspersky gibi güvenlik araştırmacıları tarafından yapılan işin bir diğer önemli dalı, keşfettiği kötü amaçlı yazılımın arkasında kimin olduğunu, kötü amaçlı yazılımın amaçlarının ne olduğunu ve kötü amaçlı yazılımın hangi belirli hedeflere yönelik olduğunu araştırıyor.
MoonBounce ile ilgili olarak Kaspersky, bu kötü amaçlı yazılımın “Çince konuştuğu yaygın olarak bildirilen bir tehdit aktörü” olan APT41’in ürünü olduğundan oldukça emin görünüyor. Bu durumda, dumanlı silah, FBI’ın daha önce APT41’e ait altyapının kullanıldığını işaret ettiğini bildirdiği “benzersiz bir sertifika”dır. APT41’in bir tedarik zinciri saldırıları geçmişi vardır, bu nedenle bu, APT41’in hain operasyonlarının merkezi bir zincirinin devamıdır.
Güvenlik önlemleri
Kaspersky, MoonBounce veya benzeri UEFI kötü amaçlı yazılımlarının kurbanı olmaktan kaçınmak için bir dizi önlem önerir. Kullanıcıların UEFI bellenimlerini doğrudan üreticiden güncel tutmalarını, varsa BootGuard’ın etkinleştirildiğini doğrulamasını ve Trust Platform Modules’ü etkinleştirmesini önerir. Son olarak, UEFI kötü amaçlı yazılımı tespit edildiğinde önlem alınabilmesi için sistem donanım yazılımını sorunlara karşı tarayan bir güvenlik çözümü önerir.
