• Günlük Haberler
  • *İNSAN KAYNAKLARI
  • *ÜRÜNLER / HİZMETLER
  • BİLİŞİM
  • DOSYALAR
  • e-TİCARET
  • Giriş
  • Kayıt
28 °c
istanbul
26 ° Cum
26 ° Cts
26 ° Paz
26 ° Pts
Türk İnternet
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda
No Result
View All Result
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda
No Result
View All Result
Türk İnternet
No Result
View All Result
Ana Sayfa INTERNET Siber Güvenlik Virüs - Trojan

Üçüncü Parti Donanım Yazılımı Önyükleme Seti Tehdidi Yükselişe Geçti

turk-internet.com Basin-turk-internet.com Basin
25 Ocak 2022
-*ARAŞTIRMA, Hacker - Siber Saldırı, Virüs - Trojan
0
Üçüncü Parti Donanım Yazılımı Önyükleme Seti Tehdidi Yükselişe Geçti

Üçüncü Parti Donanım Yazılımı Önyükleme Seti Tehdidi Yükselişe Geçti

Facebook'ta PaylaşTwitter'da Paylaş

Kaspersky araştırmacıları, ortalıkta serbestçe gezen üçüncü bir firmware (donanım yazılımı) bootkit vakasını ortaya çıkardı. MoonBounce olarak adlandırılan bu kötü niyetli eklenti, bilgisayarların önemli bir parçası olan Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) bellenimi içinde, sabit sürücüler için harici depolama bileşenlerine ait SPI flaşında gizleniyor. Bu tür eklentilerin ortaya çıkarılması oldukça zor ve güvenlik ürünleri tarafından görünürlükleri son derece sınırlı. Serbest ortamda ilk kez 2021 baharında ortaya çıkan MoonBounce, daha önce bildirilen UEFI üretici yazılımı önyükleme setlerine kıyasla belirgin bir ilerlemeye ve sofistike bir saldırı akışına sahip. Kampanya, çok büyük olasılıkla iyi bilinen gelişmiş kalıcı tehdit (APT) aktörü APT41 ile ilişkilendiriliyor.

UEFI sabit yazılımı, bilgisayarların büyük çoğunluğunda kritik bir bileşendir. Taşıdığı kodlar cihazı başlatmaktan ve kontrolü işletim sistemini yükleyen yazılıma geçirmekten sorumludur. Bu kod, sabit disklere dair harici kalıcı bir depolama alanı olan SPI flash içinde gizleniyor. Bu alan kötü amaçlı kod içeriyorsa, kod işletim sisteminden önce başlatılıyor. Bu nedenle sabit sürücüyü yeniden biçimlendirmek veya işletim sistemini yeniden yüklemek enfeksiyondan kurtulmaya yetmiyor. Dahası kod sabit sürücünün dışında bir yerde bulunduğundan, bu tür önyükleme setlerinin etkinliği özellikle aygıtın ilgili bölümünü tarayan bir güvenlik çözümü söz konusu olmadıkça algılanamıyor.

MoonBounce, bugüne dek ortalıkta serbestçe dolaştığı bildirilen üçüncü UEFI bootkiti oldu. Bootkit 2021 baharında ortaya çıktı ve ilk olarak Kaspersky araştırmacıları tarafından, UEFI ürün yazılımı görüntüleri de dahil olmak üzere ROM BIOS’ta saklanan tehditleri özellikle tespit etmek için 2019’un başından beri Kaspersky ürünlerine dahil edilen Firmware Scanner etkinliğine bakarken keşfedildi. Daha önce keşfedilen LoJax ve MosaicRegressor bootkitleriyle karşılaştırıldığında MoonBounce daha karmaşık bir saldırı akışına ve daha fazla teknik gelişmişliğe sahip oluşuyla öne çıkıyor.

Söz konusu eklenti, UEFI önyükleme sırasında erkenden çağrılan bellenimin CORE_DXE bileşeninde yer alıyor. Ardından eklentinin bileşenleri belirli işlevleri engelleyen bir dizi kanca aracılığıyla işletim sistemine giriyor ve burada daha fazla kötü amaçlı yükleri almak için bir komuta ve kontrol sunucusuna ulaşıyor. Bileşenler yalnızca bellekte çalıştığından enfeksiyon zincirinin kendisi sabit sürücüde herhangi bir iz bırakmıyor.

MoonBounce’ı araştırırken Kaspersky araştırmacıları, aynı ağın birkaç düğümünde birkaç kötü amaçlı yükleyiciyi ve kullanım sonrası için ayrılmış kötü amaçlı yazılım ortaya çıkardı. Buna bilgi alışverişi yapmak ve ek eklentileri yürütmek için C2 sunucusuyla iletişim kurabilen bir bellek içi eklenti olan ScrambleCross veya Sidewalk, kimlik bilgilerini ve güvenlik sırlarını aktarmak için kullanılan kamuya açık sömürü aracı Mimikat_ssp, önceden bilinmeyen Golang tabanlı arka kapı ve genellikle SixLittleMonkeys tehdit aktörü tarafından kullanılan kötü amaçlı yazılım olan Microcin dahil oluyor. MoonBounce bu kötü amaçlı yazılım parçalarını indirebildiği gibi, söz konusu kötü amaçlı yazılım parçalarından birinin daha önce sisteme bulaşması makineyi tehlikeye atmanın bir yolu olarak da hizmet edebiliyor. Böylece MoonBounce ağda yer edinebiliyor.

MoonBounce için başka bir olası bulaşma yöntemi, hedef şirkete teslim edilmeden önce makinenin güvenliğinin ihlal edilmesi şeklinde ortaya çıkıyor. Her iki durumda bulaşmanın hedeflenen makineye uzaktan erişim yoluyla gerçekleştiği düşünülüyor. Ek olarak, LoJax ve MosaicRegressor DXE sürücülerine eklenti yerleştirirken, MoonBounce daha incelikli ve daha gizli bir saldırı için mevcut bir üretici yazılımı bileşenini değiştirme yoluna gidiyor.

Söz konusu ağa karşı yürütülen genel kampanyada saldırganların dosyaları arşivlemek ve ağ bilgilerini toplamak gibi çok çeşitli eylemler gerçekleştirdikleri açık olarak tespit edildi. Saldırganların faaliyetleri boyunca kullandıkları komutlar, yanal hareketler ve verilerin sızdırma girişimleri için UEFI eklentisini kullanmaları bunun bir casusluk faaliyeti olabileceği ihtimalini güçlendiriyor.

Kaspersky, MoonBounce’ı çok yüksek ihtimalle en az 2012’den beri dünya çapında siber casusluk ve siber suç kampanyaları yürüten, Çince konuşan bir tehdit aktörü olduğu geniş çapta bildirilen APT41’e bağlıyor. Aynı ağ, APT41 ile Çince konuşan diğer tehdit aktörleri arasında olası bir bağlantı olduğunu da öne sürüyor.

Şimdiye kadar bellenim önyükleme seti, yüksek teknoloji pazarındaki bir holding şirketinin tek bir makinesinde bulundu. Ancak, diğer bağlantılı kötü niyetli örneklere (ScrambleCross ve yükleyicileri gibi) birkaç başka ağda da rastlandı.

GReAT Kıdemli Güvenlik Araştırmacısı Denis Legezo, şunları söyledi:

“MoonBounce üzerinde yaptığımız araştırmalar sırasında bulunan ek kötü amaçlı yazılım eklentilerini özellikle bağlayamasak da Çince konuşan bazı tehdit aktörleri, çeşitli kampanyalarına yardımcı olmak için söz konusu araçları birbirleriyle paylaşıyor gibi görünüyor. Özellikle MoonBounce ve Microcin arasında bir bağlantı olduğunu düşünüyoruz.”

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Araştırmacısı Mark Lechtik de şunları aktarıyor:

“En son UEFI önyükleme seti, 2020’de bildirdiğimiz MosaicRegressor ile karşılaştırıldığında aynı kayda değer ilerlemeleri gösteriyor. Aslında bellenimdeki önceden iyi huylu bir çekirdek bileşenini, sistemde kötü amaçlı yazılım dağıtımını kolaylaştırabilecek bir bileşene dönüştürmek önemli bir yenilik. Bunu önceki kıyaslanabilir bellenim önyükleme setlerinde görmemiştik ve tehdidi çok daha gizli hale getiriyor. 2018’de UEFI tehditlerinin popülerlik kazanacağını tahmin etmiştik, bu eğilim gerçekleşiyor gibi görünüyor. 2022’de ek bootkit’ler bulduğumuza şaşırmayacağız. Neyse ki dağıtıcılar donanım yazılımı saldırılarına daha fazla dikkat etmeye başladı. BootGuard ve Güvenilir Platform Modülleri gibi donanım yazılımı güvenlik teknolojileri yavaş yavaş benimseniyor.”

MoonBounce gibi UEFI önyükleme setlerinden korunmak için Kaspersky şunları öneriyor:

  • SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın.
  • Uç nokta düzeyinde algılama, olayların araştırılması ve zamanında düzeltilmesi için EDR çözümlerini uygulayın.
  • Sağlam bir uç nokta güvenlik ürünü kullanın.
  • UEFI donanım yazılımınızı düzenli olarak güncelleyin ve yalnızca güvenilir satıcıların donanım yazılımlarını kullanın.
  • Varsayılan olarak Güvenli Önyüklemeyi etkinleştirin.
Etiketler: AraştırmaDenis LegezoKasperskyKötü Amaçlı YazılımlarMark LechtikSiber Güvenlik

Türk İnternet'ten buna benzer yazılar için bildirim almak ister misiniz?

ABONELİKTEN ÇIK
Lütfen yorum yapmak için giriş yapın.

GÜNLÜK BÜLTEN ABONELİĞİ

Aboneliğinizi onaylamak için gelen veya istenmeyen posta kutunuzu kontrol edin.

YAZARLARIMIZ

Ernur Öktem
  • Yakında Yerli Üretim Huawei Telefonlar mı Göreceğiz?
Fusun S.Nebil
  • Felsefe, Tarih ve Gençler.. Bu Ülkede Ümit Biter mi?
Innocenzo Genna* / EU telecom regulation expert
  • Dezenformasyonla İlgili Yeni Avrupa Uygulama Kuralları: Öz Düzenlemeden Ortak Düzenlemeye
Mehmet Taşnikli
  • İnternet Devleri, AB’nin Yeni Dezenformasyonla Savaş Kurallarını İmzaladı
turk-internet.com / Bilgi
  • “Bağlantınız Gizli Değil” Uyarısı Nedir, Karşılaşıldığında Ne Yapmalı?
Ümit Ağaçsakal
  • “Bırakınız Yapsınlar” mı, “Durdurun Otursunlar” mı?

HAFTANIN ÖNE ÇIKANLARI

  • Rekabet Kurumu’ndan Başarılı Yemek Sepeti Soruşturması Animasyonu
  • Uydudan GSM’e Sinyal Teknolojisi, Test için FCC’den Onay Aldı
  • Depremi Önceden Haber Veren Sistem: EDIS
  • Dezenformasyon Düzenlemesi Düşman Ülkeler İçindir, Halk için Değil
  • AB, Cep Telefonları için Ortak Şarj Cihazını (USB-C) Zorunlu Kılıyor

HAFTANIN KELİMESİ

3GPP

3. Nesil Ortaklık Projesi (3GPP), dünya çapında çeşitli mobil (hücresel) ve telekomünikasyon standartlarını geliştiren ve sürdüren bir grup standart kuruluşudur.

3G ile birlikte kurulmuş ve telekom endüstrisinin Birleşmiş Milletleri diye tanımlanabilir. Sonraki nesiller için de standartları belirlemiştir.

Detayı için Wiki-Turk'e bakınız

Bildirimler

Turk-internet.com masaüstü bildirimlerini almak için lütfen buraya tıklayın

Son Yorumlar

  • Seçim Yaklaşırken, Kişisel Veriler Kötüye Nasıl Kullanılır? için [email protected]
  • Video Sunan Platformları En İyi Nasıl İzleriz? için Tolga Kaprol
  • Rusya, Meta’ya (Facebook) Erişimi Engelledi için Tolga Kaprol
  • Metaverse, Bir Can Simididir için tkaprol
  • Kademeli Tarifede Elektrikten Tasarruf Tüyoları için maltun1

Haber bültenimize abone olun

Aboneliğinizi onaylamak için gelen veya istenmeyen posta kutunuzu kontrol edin.

  • Haber İndeksi
  • Hakkımızda
  • Gizlilik Bildirimi
  • Firmaların turk-internet.com ile Çalışabilirlik Yöntemleri
  • Destek
  • Bize Yazın

© 2021 Turk-Internet.com

No Result
View All Result
  • Ana Sayfa
  • BİLİŞİM
  • e-TİCARET
  • INTERNET
  • TELEKOM
  • YENİ TEKNOLOJİLER
  • Hakkımızda

© 2021 Turk-Internet.com

Tekrar Hoşgeldiniz!

Aşağıdan hesabınıza giriş yapınız

Şifremi unuttum? Kayıt Ol

Yeni Hesap Oluştur

Kayıt olmak için aşağıdaki formu doldurunuz

Tüm alanların doldurulması gerekiyor. Giriş yap

Şifrenizi geri alın

Lütfen şifrenizi resetlemek için kullanıcı adı veya email adresinizi girin.

Giriş yap
Bu internet sitesinde, kullanıcı deneyimini geliştirmek ve internet sitesinin verimli çalışmasını sağlamak amacıyla çerezler kullanılmaktadır. Gizlilik Bildirimi.