ESET, LoJax adlı yeni zararlı yazılım hakkında detaylı bir rapor yayınladı.
Uzun süredir UEFI yazılımlarına virüs bulaşabileceği konuşulurken, ilk defa bu yöntemi kullanan bir virüs bulundu. LoJax olarak adlandırılan bu virüs, UEFI güvenliğinin ne kadar önemli olduğunu gösterdi.
UEFI virüsleri neden tehlikeli?
Bilgisayarın firmware’ini işletim sistemine bağlayan UEFI, bilgisayardaki en temel ve en hassas değişkenleri içeriyor. Bu alanda yapılacak değişiklikler, kalıcı hasarlara yol açabiliyor.
İşin daha da çetrefilli kısmı ise UEFI virüslerinin tespit edilmesinin zor olması. Ayrıca işletim sistemini baştan yüklemek veya sabit diski komple değiştirmek gibi çözümler de fayda etmiyor.
Tasarım aşamasındaki bazı UEFI virüsleriyle geçmişte karşılaştık. Fakat ilk defa dağıtımı yapılmış gerçek bir virüs ortaya çıktı. Bu virüsü Sednit APT grubunun yayınladığı söyleniyor.
İlk UEFI virüsünün ortaya çıkması 2 sebepten dolayı çok önemli:
- UEFI virüslerinin gerçek bir tehdit olduğunu gösteriyor.
- Sednit’in hedefindeki şirketler için aynı zamanda bir uyarı niteliği taşıyor.
Sednit kimdir?
Sednit, 2004’ten bu yana çalışmalarını sürdüren bir hacker grubu. Yüksek profilli saldırılar düzenleyen grup, ABD’nin 2016’daki seçimlerinin hemen öncesinde Demokratik Ulusal Komite’yi hacklemişti. Ayrıca çeşitli TV kanalları, e-posta sızdırmaları gibi olayların da arkasındalar. Grubun elinde çok çeşitli zararlı yazılım seçenekleri bulunuyor.
Yapılan araştırmada, Sednit’in yazılımının modifiye edilmiş UEFI modülünü sistemin SPI flaş hafızasına başarılı bir şekilde yazabildiği görüldü. Modül, zararlı yazılımı bilgisayarın açılışı esnasında sabit diskten okuyarak çalıştırmayı başarabiliyor.
UEFI’ye yükleme başarılı olduktan sonra sabit diski değiştirmek veya işletim sistemini baştan yüklemek gibi çözümler işe yaramıyor. Virüsten ancak UEFI firmware’ini baştan yükleyerek kurtulmak mümkün. Bunun yolunu da pek çok bilgisayar kullanıcısı bilmiyor.
LoJax virüsünün bulaştığı bilgisayarlarda, UEFI’ye erişebilen veya UEFI/BIOS ayarlarını değiştirebilen pek çok araç bulundu. Bunların tümü, UEFI/BIOS ayarlarını değiştirmek için RwDrv.sys kernel sürücüsünü kullanıyor.
Bu kernel sürücüsü RWEverything yazılımıyla geliyor. RWEverything, bilgisayarın PCI Express, hafıza ve PCI Option ROM gibi bileşenlerindeki neredeyse tüm verileri okuyabiliyor.
LoJax virüsünden nasıl korunuruz?
Sednit’in UEFI virüsü doğru bir şekilde imzalanmadığı için Secure Boot gibi güvenlik mekanizmaları tarafından engellenebiliyor. Secure Boot açık olduğunda, yüklenecek olan tüm firmware’lerin dijital imzalı olması gerekiyor. UEFI/BIOS ayarları altından Secure Boot özelliğini açmanızı tavsiye ederiz. Ayrıca anakartınızın UEFI/BIOS’unu güncellemenizi tavsiye ederiz.
ESET’in bu konudaki makalesini buradaki bağlantıdan okuyabilirsiniz.
