ESPecter

Yaklaşık on yıldır potansiyel olarak algılanmayı önleyebilen bir kötü amaçlı yazılım tehdidi, sonunda bilgi güvenliği araştırmacıları tarafından yakalandı. Siber güvenlik uzmanları tarafından keşfedilen ESPecter adlı tehdit, virüslü sistemlerin ESP (EFI Sistem Bölmesi) sürücüsüne imzasız sürücüleri yüklemek için tasarlanmış bir önyükleme setidir.

Araştırmacılar tehdidin kökenini en az 2012 yılına kadar takip ettiler. Bu önemli dönemde, kötü amaçlı yazılımın maruz kaldığı en büyük değişiklik, eski BIOS ve Ana Önyükleme Kaydı'nı hedeflemekten halefleri UEFI'ye geçiş oldu. Birleşik Genişletilebilir Ürün Yazılımı Arabirimi veya UEFI, makinenin ürün yazılımını işletim sistemine bağlayan önemli bir bileşendir.

Şimdiye kadar ESPecter, yeterli kanıt olmaması nedeniyle herhangi bir belirli tehdit aktörüne atfedilmemiş. Hata ayıklama mesajları gibi tehdidin bileşenlerinde bulunan belirli işaretler, yaratıcılarının Çince konuşan kişiler olduğunu gösteriyor. ESPecter'ın tesliminde kullanılan dağıtım yöntemi şu anda benzer şekilde bilinmiyor. Tehdit aktörü, bilinen ancak hala yama uygulanmamış bir hata olan sıfırıncı gün UEFI güvenlik açığı kullanıyor olabilir veya hedeflenen makinelere fiziksel erişime sahip olabilir.

Teknik detaylar

ESPecter, kendisini ESP'ye yerleştirir ve kalıcılığını Windows Önyükleme Yöneticisine uygulanan bir yama aracılığıyla kurar. Ayrıca yama, ESPecter'a Windows Sürücü İmza Uygulaması (DSE) protokollerini tamamen atlama ve kendi imzasız sürücülerini güvenliği ihlal edilmiş makineye yükleme yeteneği sağlar. Tehdit, saldırganın Komuta ve Kontrol (C2, C&C) sunucusuyla bağlantı kurmak için ek güvenli olmayan bileşenler de enjekte edebilir.

Araştırmacılar, ESPecter ile enfekte olan sistemlerde keylogging ve dosya çalma modülleri keşfetti ve bu, tehdit aktörünün asıl amacının siber casusluk ve seçilen hedeflerin gözetlenmesi olabileceğini gösterdi. Aslında, ESPecter ayrıca rastgele ekran görüntüleri alma ve bunları toplanan anahtar günlükleri ve belgelerin yanında gizli bir dizinde saklama işleviyle donatılmıştır.

Ancak, ESPecter'ın tehdit edici faaliyetlerini gerçekleştirebilmesi için sistemdeki Güvenli Önyükleme özelliğinin devre dışı bırakılması gerekiyor. Güvenli Önyükleme, ilk olarak Windows 8'in piyasaya sürülmesiyle bir Windows özelliği olarak tanıtıldı, böylece işletim sisteminin önceki tüm sürümleri otomatik olarak bir ESPecter saldırısına karşı duyarlı hale geldi. Yine de daha yeni bir Windows sürümünü kullanmak yeterli değildir. Son birkaç yılda, saldırganların Güvenli Önyüklemeyi devre dışı bırakmasına veya tamamen atlamasına izin veren çok sayıda UEFI ürün yazılımı güvenlik açığı ortaya çıktı.