Firmware tabanlı rootkit’ler, hala nispeten nadir olmakla birlikte, tehdit aktörlerine hedef ağ üzerinde kalıcı, tespit edilmesi zor ve ortadan kaldırılması zor bir varlığı sürdürmenin bir yolunu sundukları için popülerlik kazanmaktadır.
Kaspersky araştırmacıları, yakın zamanda, bir müşterinin bulunduğu yerdeki bir bilgisayarın Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) ürün yazılımının derinliklerinde gizlenmiş bu tür bir tehdidin en son örneğini keşfetti. “MoonBounce” olarak adlandırılan kötü amaçlı implant, diğer bazı UEFI önyükleme setleri gibi sabit disk yerine, virüslü bilgisayarın ana kartındaki SPI flash depolama içindeki UEFI bellenimine yerleştirildi. Kaspersky’ye göre bu, sabit disk biçimlendirilmiş veya değiştirilmiş olsa bile implantın sistemde kalabileceği anlamına geliyordu.
İmplant, güvenliği ihlal edilen sisteme ek kötü amaçlı yazılımların yerleştirilmesini sağlamak için tasarlandı. Aynı sistemdeki diğer kötü amaçlı yazılım kalıntıları, MoonBounce’ın daha geniş bir siber casusluk kampanyasının parçası olarak kullanıldığını ve Kaspersky araştırmacılarının yüksek düzeyde güvenle Çince konuşan bir gelişmiş kalıcı tehdit (APT) grubu olan APT41’e atfedebildiğine işaret etti. Kaspersky keşfedildi 2021’in sonlarında tehdidi ve APT hizmetinin müşterilerine özel olarak bildirdi.
Kaspersky’nin küresel araştırma ve analiz ekibinde (GReAT) kıdemli güvenlik araştırmacısı Mark Lechtik, “Bu bilginin toplulukla paylaşılmasının bir değeri olduğuna inandığımızdan kısa bir süre sonra bunu kamuya açıklamayı seçtik” diyor. Amaç, savunucuların “hem UEFI ürün yazılımı saldırılarının nasıl geliştiğini anlamalarını hem de [to] mavi takımların bu tür tehdide karşı daha iyi savunma yapmasına izin verin.”
Modern bilgisayarlar, önyükleme işlemi sırasında UEFI sabit yazılımı kullanır. Arayüz, bilgisayarın işletim sistemini yüklemek için kullandığı bilgileri içerir; bu, içindeki herhangi bir kötü amaçlı kodun işletim sistemi başlatılmadan önce yürütüleceği anlamına gelir. Bu gerçek, UEFI bellenimini, kötü amaçlı yazılım algılama araçlarından implantları gizlemek ve virüslü sistemlerde uzun vadeli kalıcılık sağlamak isteyen saldırganlar için giderek daha popüler bir hedef haline getirdi.
Güvenlik sağlayıcısı ESET, 2018’de LoJax olarak adlandırılan ilk üretici yazılımı düzeyinde rootkit’i keşfetti. MoonBounce gibi bu kötü amaçlı yazılım, SPI flash üzerindeki UEFI ürün yazılımında gizlenmişti. Rusya merkezli APT aktörü Sednit grubunun Doğu Avrupa ve diğer bölgelerdeki devlet kuruluşlarına yönelik düzenlediği kampanya kapsamında hedef aldığı bir örgüte ait sistemde tespit edildi.
O zamandan beri, güvenlik araştırmacıları vahşi doğada bir avuç benzer rootkit buldu. MoonBounce, SPI flash üzerindeki kötü amaçlı bir üretici yazılımı implantının herkes tarafından bilinen üçüncü örneğidir. Diğer ikisi, Kaspersky’nin 2020’de Asya, Avrupa ve Afrika’daki diplomatik ve sivil toplum kuruluşlarını hedef alan bir kampanyada kullanıldığını ortaya çıkardığı LoJax ve MosaicRegressor.
SPI flash’taki bellenim tabanlı rootkit’lere ek olarak, araştırmacılar, genellikle bir bilgisayarın sabit diskinde bulunan EFI Sistem Bölmesi (ESP) adı verilen UEFI bileşenlerinde kötü amaçlı yazılım keşfettiler. Bu tür rootkit’in örnekleri arasında, Kaspersky’nin geçen Eylül’de bildirdiği, oldukça karmaşık bir gözetim aracı olan FinSpy ve bir bilgisayarın ESP’sinde bulunan başka bir UEFI implantı olan ESPectre sayılabilir. ESET Ekim ayında bildirildi.
Kaspersky’ye göre, SPI üzerindeki UEFI bellenimi üzerindeki implantlar, sabit diskteki bellenim tabanlı rootkit’lerden daha iyi gizlenir. Ayrıca, genellikle sabit sürücüyü yeniden biçimlendirerek silinebilen ESP düzeyindeki rootkit’lere kıyasla bunları ortadan kaldırmak daha zordur.
Lechtik, MoonBounce’ın iyi huylu bir UEFI bileşenine yaptığı ikili düzey değişikliklerinin çok ince doğası nedeniyle LoJax ve MosaicRegressor’dan daha karmaşık olduğunu söylüyor. Değişiklikler, sistem başlatma sırasında kötü amaçlı yazılım yüklemek için bir mantık sunarken, önyükleme sırasını bozulmadan korur.
Lechtik, “Daha da önemlisi, yalnızca bellekteki önyükleme sırası bileşenlerinde değişiklikler yapıyor ve bu sayede kötü amaçlı kodların işletim sistemine yayılmasına izin veriyor” diyor. Bu, diskte hiçbir iz bırakmadığı ve saldırıları öncekilerden çok daha gizli yaptığı anlamına gelir.
Lechtik, UEFI’yi kurcalamak için APT41 aktörlerinin UEFI önyükleme sırasını ve saldırdıkları üretici yazılımının satıcıya özel uygulamasını iyi anlamaları gerektiğini söylüyor. Ek olarak, temel donanım platformunun bellenime yazmaya izin vermesi gerekiyordu – bu, bellenimde güvenlik açıkları varsa gerçekleşebilecek bir şey.
Lechtik, “Bizim durumumuzda saldırganların her iki ön koşulu da vardı” diyor. “En önemlisi, belirli hedeflenen ürün yazılımı hakkında kapsamlı bir anlayışa sahiptiler, bu da güvenliği ihlal edilmiş makineye sürekli erişime sahip olduklarını gösteriyor.”
Tehdidin Ele Alınması
Artan üretici yazılımı düzeyinde saldırı tehdidi – 2021 anketinde kuruluşların %83’ü bir saldırıya uğradıklarını söyledi – yonga üreticilerini, donanım ve işletim sistemi satıcılarını teknolojilerini tehdide karşı güçlendirmek için değişiklikler yapmaya itti. Güvenli Önyükleme bir örnektir. Teknoloji, bir bilgisayarın yalnızca güvenilir, imzalı önyükleme yazılımı parçaları kullanılarak açılmasını sağlamak için tasarlanmıştır. Diğer örnekler arasında Intel’in Önyükleme Koruması Önyükleme düzeyindeki yazılımlarda yetkisiz değişiklikler yapan saldırganların tehdidine karşı savunmak ve Güvenilir Platform Modülü (TPM), önyükleme sırasında sistem bütünlüğünü sağlamak için 10 yıldan daha eski bir teknoloji.
Lechtek, MoonBounce ile Güvenli Önyükleme gibi bir mekanizmanın işe yaramaz olacağını söylüyor.
“Klasik Güvenli Önyükleme, önyükleme sırasında bileşenlerin kimliğini doğrularken bellenim düzeyindeki bileşenleri dikkate almıyor” diyor. “MoonBounce’ın kendisi bu mekanizmayı atlamak için hiçbir şey yapmıyor. Güvenli Önyükleme tarafından incelenen görüntülerde herhangi bir değişiklik yapmıyor, bunun yerine bu görüntülerin yansımalarını yüklendikten sonra bellekte yamalıyor.”
Ancak Lechtik, Boot Guard ve TPM’nin MoonBounce’ın donanım yazılımı düzeyindeki değişikliklerine başarıyla karşı koyacağını söylüyor.
