Güncelleme Tarihi: 3 Aralık 2024 14:03

Eset, Linux İçin İlk Uefı Bootkit’ini Keşfetti

Siber güvenlik şirketi ESET, Linux sistemleri için tasarlanan ve yaratıcıları tarafından Bootkitty olarak isimlendirilen ilk UEFI bootkit’ini keşfetti. Bu keşif UEFI önyükleme kitlerinin artık sırf Windows sistemleriyle sınırlı olmadığının ilk delili olma özelliğini taşıyor.

Unified Extensible Firmware Interface sözlerinin kısaltması olan UEFI, anakart kontrol yazılımı olarak biliniyor. UEFI işletim sistemi başlatılmadan önce, bilgisayar çalıştığında harekete geçen bir yazılım. Siber suçlular UEFI kodunu değiştirirse bu kodu kurbanın sistemine kötü amaçlı yazılım göndermek için kullanabilmeleri de mümkün oluyor. Bootkitise sahibinin bilgisi olmadan bilgisayar üzerinde düşük seviyede kontrol elde etmek için tasarlanmış bir tür kötü amaçlı yazılım olarak tanımlanıyor.

Kasım 2024’te VirusTotal’a bootkit.efi isimli daha önce bilinmeyen bir uygulama yüklendikten sonra ESET Research yaptığı incelemede bunun bir UEFI uygulaması olduğunu keşfetti. Yapılan derinlemesine tahliller sonrasında, yaratıcıları tarafından Bootkitty olarak isimlendirilen bir UEFI önyükleme kiti olduğunu doğruladı; şaşırtan bir şekilde, Linux’u özellikle birkaç Ubuntu sürümünü hedef alan ilk UEFI önyükleme kitidir. Bootkit, bunun bir tehdit aktörünün çalışmasından çok bir kavram delili olduğunu düşündüren birçok eser içeriyor.

Bootkitty kendinden imzalı bir sertifika ile imzalanmış, bu nedenle varsayılan olarak UEFI güvenli önyüklemenin etkin olduğu sistemlerde çalışamaz. Ancak Bootkitty, bütünlük doğrulamasından sorumlu gerekli fonksiyonları bellekte yamaladığı için UEFI güvenli önyükleme etkin olsun ya da olmasın Linux çekirdeğini sıkıntısız bir şekilde önyüklemek üzere tasarlanmıştır. Bootkit, önyükleme yükleyicisinin yerini alabilen ve yürütülmeden önce çekirdeğe yama uygulayabilen gelişmiş bir rootkit’tir. Bootkitty, makinenin önyükleme sürecini ele geçirdiği ve işletim sistemi daha başlamadan kötü amaçlı yazılımı çalıştırdığı için saldırganın etkilenen makine üzerinde tam kontrol sahibi olmasını sağlar.

Analiz sırasında ESET, Bootkitty ile aynı müellifler tarafından geliştirilmiş olabileceğini düşündüren işaretlerle birlikte ESET’in BCDropper olarak isimlendirdiği muhtemelen bağlantılı imzasız bir çekirdek modülü keşfetti. Analiz sırasında bilinmeyen başka bir çekirdek modülünü yüklemekten sorumlu bir ELF ikili evrakı dağıtıyor.

Bootkitty’yi analiz eden ESET araştırmacısı Martin Smolár şu açıklamayı yaptı : “Bootkitty, bunun bir tehdit aktörünün çalışmasından çok bir kavram ispatı olduğunu düşündüren birçok eser içeriyor. VirusTotal’daki mevcut sürüm, sadece birkaç Ubuntu sürümünü etkileyebildiği için şu anda Linux sistemlerinin birçok için gerçek bir tehdit oluşturmasa da gelecekteki potansiyel tehditlere karşı hazırlıklı olmanın gerekliliğini vurguluyor. Linux sistemlerinizi bu tür tehditlere karşı güvende tutmak için UEFI güvenli önyüklemenin etkin olduğundan, sistem yazılımınızın, güvenlik yazılımınızın ve işletim sisteminizin güncel olduğundan ve UEFI iptal listenizin de güncel olduğundan emin olun.”

Diğer Teknoloji Haberleri İçin Tıklayın / Bursa Haber - Bursa Gündem - Bursa Gündem Haber - Bursa Haberleri - Bursa Son Dakika

Bizi İnstagram'da Takip Edebilirsiniz / @BursaGündemHaber

Bizi X'de Takip Edebilirsiniz / @BursaGündemHbr

Bizi Facebook'da Takip Edebilirsiniz / @BursaGündemHaber

Bizi Youtube'da Takip Edebilirsiniz / @BursaGündemHaber

Bizi Linkedin'de Takip Edebilirsiniz / @BursaGündemHaber