BIOS'a virüs bulaşıp bulaşmadığını nasıl anlarım?

24099 · 13 Şubat 2021

Böyle bir şeyi anlayamazsın, anlasan bile gecikmeli bir şekilde anlayabilirsin ancak.

UEFI rootkitlerinin hepsi hedefli saldırılarda çeşitli hedefler üzerinde kullanıldı. Tespit edilmesi de bu nedenle bi' hayli zaman aldı. Bu tarz zararlılar sen de tutup istemedikçe, arayıp bulmadıkça size denk gelmez. Bunu yapabilecek yetenekteki hiçbir APT'de sizde ve sizin gibi normal kullanıcıda test etmez bu zararlıları. OPSec anlamında kısa sürede fail olur yoksa.

Güvenlik yazılımlarında bir süredir yer alan firmware taraması, UEFI taraması iş görecektir zaten böyle son kullanıcıyı hedef alan zararlı varsa. Yoksa, hedefli saldırıların zararlıları belli bir süre sonra antivirüs firmaları ve analistler tarafından tespit edildikten sonra yine bulacaktır.

Le197 · 13 Şubat 2021

24099 dedi:
Böyle bir şeyi anlayamazsın, anlasan bile gecikmeli bir şekilde anlayabilirsin ancak.

UEFI rootkitlerinin hepsi hedefli saldırılarda çeşitli hedefler üzerinde kullanıldı. Tespit edilmesi de bu nedenle bi' hayli zaman aldı. Bu tarz zararlılar sen de tutup istemedikçe, arayıp bulmadıkça size denk gelmez. Bunu yapabilecek yetenekteki hiçbir Apt'de sizde ve sizin gibi normal kullanıcıda test etmez bu zararlıları. Opsec anlamında kısa sürede fail olur yoksa.

Güvenlik yazılımlarında bir süredir yer alan Firmware taraması, UEFI taraması iş görecektir zaten böyle son kullanıcıyı hedef alan zararlı varsa. Yoksa, hedefli saldırıların zararlıları belli bir süre sonra antivirüs firmaları ve analistler tarafından tespit edildikten sonra yine bulacaktır.

Şimdi anladığım kadarıyla internette indirdiğimiz virüsler normal kullanıcıyı hedef alıyor değil mi? Yani diyelim ki ben büyük bir şirkette çalışıyorum bu benim özel olduğum anlamına gelir bu da UEFI virüslerin bana özel atılması anlamına gelir ki o virüsler tespit edilmesin. Yoksa her virüsün birçok kısmına UEFI rootkitler atılsaydı anti virüsler bu konuda kendini geliştirirdi. Yani şimdi kimsenin indirmediği bir crackli virüsü indirsem veya kimsenin indirmediği bir yerden virüs indirsem yiyeceğim virüs UEFI rootkit virüsü olma ihtimali çok düşük olur değil mi?

Buradaki kastım her kullanıcının indirebiliceği virüsü ilk sen indirirsen bile UEFI rootkit virüsü olma ihtimali yok denecek kadar düşük müdür?

Murat5038 · 13 Şubat 2021

Le197 dedi:
Buradaki kastım her kullanıcının indirebiliceği virüsü ilk sen indirirsen bile UEFI rootkit virüsü olma ihtimali yok denecek kadar düşük müdür?

UEFİ rootkit diye bir şey yok. UEFİ zararlıları çok az var ve az da olsa gelişmekte olanlar da var.
Normal kişilere bulaşması azdır yukarıda yazıldı.
Korkusu olan sağlam bir AV kullanıp bilmediği dosyayı açmaz yüklemezse en azından bu tür zararlıdan korunmuş olur. Bilmediğin önyükleme cihazını, yazılımını, dosyasını kullanmazsan, çalıştırmazsan korunursunuz.

24099 · 14 Şubat 2021

Le197 dedi:
Yani şimdi kimsenin indirmediği bir crackli virüsü indirsem veya kimsenin indirmediği bir yerden virüs indirsem yiyeceğim virüs UEFI rootkit virüsü olma ihtimali çok düşük olur değil mi?

Sana böyle bir şeyin denk geleceğini sanmıyorum dediğim gibi hedef olmadığın sürece.
Büyük saldırılarda OPSec mevzusu vardır dediğim gibi. Bu saldırıların arkasındaki gelişmiş tehdit grupları (APT'ler) belirli bir amaç ve hedef için "operasyonlar" yürütürler. Operasyonlar genellikle hedefe yöneliktir ve son kullanıcıya ulaşması çoğunlukla istenmez zira kullanıcılar arasında yayılırsa tespit edilme ihtimali çok daha artacaktır. Bu durumda hedefe erişim sağlanamadan operasyon başarısızlıkla sonuçlanacaktır, aynı zamanda yapılan incelemeler sonucu saldırının geldiği kaynak ile iletişim kanalları tespit edildiğinden yine aynı şekilde operasyonun başarısızlığı anlamına gelecektir.

Murat5038 dedi:
UEFI rootkit diye bir şey yok.

Abi bu bir firmware olduğundan, firmware tabanına kök erişimi bulunuyor UEFI zararlılarında. Tipik olarak o yüzden firmware rootkitleri listesine dahil ediliyor.

EFI bölümüne bulaşan zararlılar var bir de bambaşka bir tür olan UEFI BIOS firmware'i etkileyenler. Şu ana kadar bilinen iki örneği var Lojack Anti-Theft'in editlenmişi olan LoJaX ve AMI BIOS'un bir sürümünün editlenerek hedefli saldırılar için geliştirilmiş olanı MosaicRegressor. Ama dediğin gibi bilinmedik yerlerden saçma sapan şeyler indirmezse, saçma sapan modlu BIOS'lar kurmazsa ve secure boot açık olduğu sürece böyle bir saldırıdan etkileneceğini sanmıyorum.

Hatta MosaicRegressor için bir yazı yayınlamıştık

Yeni Bir UEFI Bootkit SaldÄ±rÄ±sÄ± Daha KeÅfedildi

Daha Ã¶nceden ESET tarafÄ±ndan tespit edilenÂ Lojax zararlÄ±sÄ±ndan sonra, Ekim ayÄ±nda yeni bir UEFI bootkit daha keÅfedildi.Â Siber gÃ¼venlik araÅtÄ±rmacÄ±larÄ±

www.technopat.net

Le197 · 14 Şubat 2021

Murat5038 dedi:
UEFI rootkit diye bir şey yok. UEFI zararlıları çok az var ve az da olsa gelişmekte olanlar da var.
Normal kişilere bulaşması azdır yukarıda yazıldı.
Korkusu olan sağlam bir av kullanıp bilmediği dosyayı açmaz yüklemezse en azından bu tür zararlıdan korunmuş olur. Bilmediğin önyükleme cihazını, yazılımını, dosyasını kullanmazsan, çalıştırmazsan korunursunuz.

Hocam zaten bilmediğimiz dosyalardan bulaşmıyor mu bu virüsler? Benim burada demek istediğim normal kullanıcıların bilmediği dosyalardan alacağı virüslerin BIOS virüsleri olma oranını imkansız denilebilecek kadar az mıdır? Sonuçta eğer bilmediği dosyalardan indirdikleri virüslerin çoğu bios virüsü olsaydı insanları alacakları tedbir ve önlemler artacak ve bu virüslerin bulaştırılması daha zor olacak.

Zurnadürüm · 14 Şubat 2021

Murat5038 dedi:
UEFİ rootkit diye bir şey yok.

Bu ne o zaman hocam? ESET, İlk UEFI Rootkit Siber Saldırısını Keşfetti - Technopat

Yeni Bir UEFI Bootkit SaldÄ±rÄ±sÄ± Daha KeÅfedildi

Daha Ã¶nceden ESET tarafÄ±ndan tespit edilenÂ Lojax zararlÄ±sÄ±ndan sonra, Ekim ayÄ±nda yeni bir UEFI bootkit daha keÅfedildi.Â Siber gÃ¼venlik araÅtÄ±rmacÄ±larÄ±

www.technopat.net

Murat5038 · 14 Şubat 2021

24099 dedi:
Abi bu bir firmware olduğundan, firmware tabanına kök erişimi bulunuyor UEFI zararlılarında. Tipik olarak o yüzden firmware rootkitleri listesine dahil ediliyor.

Rootkit Firmware'de olması gerekmiyor. Firmware ile Rootkit farklı şeyler sadece bölümleri yakın.

Zurnadürüm dedi:
Bu ne o zaman hocam?

Bootkit.

merta0567 · 14 Şubat 2021

Eskiden bu durum başıma gelmişti BIOS güncellemesi yapın (güncel olsa bile tekrardan güncelleyin) ve BIOS pilini çıkartın bazı BIOS virüsleri sistemin hiç açılmamasına neden oluyor eprom tek çözüm olabiliyor.

Murat5038 · 14 Şubat 2021

Le197 dedi:
Hocam zaten bilmediğimiz dosyalardan bulaşmıyor mu bu virüsler? Benim burada demek istediğim normal kullanıcıların bilmediği dosyalardan alacağı virüslerin BIOS virüsleri olma oranını imkansız denilebilecek kadar az mıdır?

Normal zararlılardan farkını yazdım zaten. Alınacak önlemler de yazılı. Oranını da yazdım alıntı yaptığın yazıda.

Le197 · 14 Şubat 2021

merta0567 dedi:
Eskiden bu durum başıma gelmişti BIOS güncellemesi yapın (güncel olsa bile tekrardan güncelleyin) ve BIOS pilini çıkartın bazı BIOS virüsleri sistemin hiç açılmamasına neden oluyor eprom tek çözüm olabiliyor.

Hocam evdeki tek bir bilgisayarda BIOS güncellemesi yapsak bilgisayardaki rootkit biosa tekrar virüs bulaştırmaz mı? Yoksa BIOS güncellediğimizde bir daha BIOS'a virüs bulaşmıyor mu?

BIOS'a virüs bulaşıp bulaşmadığını nasıl anlarım?

24099

Petapat

Le197

Picopat

Murat5038

Yottapat!

24099

Petapat

Yeni Bir UEFI Bootkit SaldÄ±rÄ±sÄ± Daha KeÅfedildi

Le197

Picopat

Zurnadürüm

Megapat

Yeni Bir UEFI Bootkit SaldÄ±rÄ±sÄ± Daha KeÅfedildi

Murat5038

Yottapat!

merta0567

Kilopat

Murat5038

Yottapat!

Le197

Picopat