BlackLotus: tamamen yamalı sistemlerde bile UEFI Güvenli Önyükleme aşamasını geçebilen bir UEFI bootkiti
- ESET araştırmacıları, önemli bir platform güvenliği özelliği olan UEFI Güvenli Önyüklemesini atlatabilen ve kullanımda olan ilk UEFI bootkiti, yani BlackLotus incelemesini paylaşan ilk ekip oldu.
- Söz konusu UEFI bootkiti, Ekim 2022’den beri bilgisayar korsanlığı forumlarında en az 5.000 ABD dolarına satıldı, UEFI Güvenli Önyüklemenin etkinleştirildiği, tamamen güncel Windows 11 sistemlerinde bile çalışabilir.
- Söz konusu bootkit, UEFI Güvenli Önyüklemesini atlatmak ve sistemde kalıcı olmak için bir yıldan uzun zamandır var olan bir güvenlik açığını ((CVE-2022-21894) kullanıyor. Bu durum, bahsettiğimiz güvenlik açığının genel olarak bilinen ilk ve çok zararlı kötüye kullanımıdır.
- Güvenlik açığı, Microsoft’un Ocak 2022 güncellemesinde giderildi; ancak, kötüye kullanılma durumu devam edebilir. Ayrıca BitLocker, HVCI ve Windows Defender gibi işletim sistemi güvenlik işleyişinin devre dışı bırakılmasına izin verebilir.
- BlackLotus’un kullanılması kolaydır ve suç amaçlı yazılım gruplarının eline geçerse hızla yayılabilir.
- ESET’in incelediği bazı BlackLotus yükleyicileri, güvenliği ihlal edilen sunucunun Ermenistan, Belarus, Kazakistan, Moldova, Rusya veya Ukrayna’nın yerel ayarlarından birini kullanması durumunda bootkit yüklemesini yapmamaktadır.
ESET araştırmacıları, önemli bir platform güvenliği özelliği olan UEFI Güvenli Önyüklemesini atlatabilen bir UEFI bootkitinin incelemesini paylaşan ilk ekip oldu. ESET Research, işlevselliği ve kendine has özellikleri nedeniyle söz konusu bootkitin BlackLotus olarak bilinen bir tehdit olduğunu ve bunun Ekim 2022’den beri bilgisayar korsanlığı forumlarında en az 5.000 ABD dolarına satılan bir UEFI bootkiti olduğunu düşünmektedir. Söz konusu bootkit, UEFI Güvenli Önyüklemenin etkinleştirildiği, tamamen güncel Windows 11 sistemlerinde bile çalışabilir.
Gerçekten BlackLotus’mu?
ESET araştırmacısı ve ilgili bootkit konusunda araştırmayı yürüten ekibin lideri Martin Smolár bu konuda şunları söylüyor: “Araştırmamız birkaç saldırıyla başladı. Bu saldırıların kesinlikle bir HTTP indiricisi olan BlackLotus kullanıcı modu bileşeni olmasından şüphelendik ve 2022’nin sonlarında telemetrimizde ortaya çıkmasıyla bu şüphelerimizde haklı çıktık. İlk değerlendirmenin ardından örneklerde bulunan kod modelleri sayesinde 6 adet BlackLotus yükleyicisini keşfettik. Böylece BlackLotus’un baştan aşağı nasıl yürütüldüğünü keşfedip karşılaştığımız durumun sadece sıradan bir kötü amaçlı yazılım olmadığını anladık.”
Söz konusu bootkit, UEFI Güvenli Önyüklemesini atlatmak ve sistemde kalıcı olmak için bir yıldan uzun zamandır var olan bir güvenlik açığını ((CVE-2022-21894) kullanıyor. Bu durum, bahsettiğimiz güvenlik açığının genel olarak bilinen ilk ve çok zararlı kötüye kullanımıdır. Söz konusu güvenlik açığı, Microsoft’un Ocak 2022 güncellemesi ile giderilse de, bu güvenlik açığından etkilenen ve geçerli imzaya sahip ikili kodlar henüz UEFI iptal listesine eklenmediği için hala kullanılabiliyor. BlackLotus da bu durumdan yararlanarak, bu güvenlik açığını kullanmak için yasal ikili kodların kendine ait ama savunmasız kopyalarını sisteme ekliyor.
Neler yapabilir?
BlackLotus; BitLocker, HVCI ve Windows Defender gibi işletim sistemi güvenlik işleyişini devre dışı bırakabiliyor. Kurulduktan sonra bootkitin ana hedefi, bootkit’in kaldırılmasını engelleyen bir çekirdek sürücü ve Komuta Kontrol sunucusu ile iletişimi sağlayan, ek kullanıcı modu veya çekirdek modu yükleri yükleyebilen bir HTTP indiricisi yaymaktır. İlginç bir şekilde ESET’in incelediği bazı BlackLotus yükleyicileri, güvenliği ihlal edilen sunucunun Ermenistan, Belarus, Kazakistan, Moldova, Rusya veya Ukrayna’nın yerel ayarlarından birini kullanması halinde bootkit yüklemesini yapmamaktadır.
BlackLotus’un reklamı ve satışı, en erken Ekim 2022’den beri karanlık forumlarda yapılmaktadır. Smolár bu konuda sözlerine şöyle devam ediyor: “Bootkit’in gerçek olduğunu ve buna ilişkin reklamın sadece bir dolandırıcılıktan ibaret olmadığını artık kanıtlayabiliriz. Hem açık kaynaklardan hem de telemetrimizden alabildiğimiz BlackLotus örneklerinin sayısının az olması, henüz pek çok tehdit aktörünün bunu kullanmaya başlamadığına inanmamıza neden oluyor. Bu bootkit, suç yazılımlarına sahip grupların eline geçerse işlerin hızla büyüyeceğinden endişeliyiz. Bu endişemizin altındaki neden, söz konusu bootkitin kolayca yerleştirilebilir olması ve suç yazılımlarına sahip grupların botnetler kullanarak kötü amaçlı yazılım dağıtabilir olmalarıdır.”
Son birkaç yıl içerisinde UEFI sistemlerinin güvenliğini etkileyen birçok kritik güvenlik açığı tespit edildi. Ne yazık ki tüm UEFI ekosisteminin karmaşıklığı ve ilgili tedarik zinciri sorunları nedeniyle, bu güvenlik açıkları düzeltildikten çok uzun zaman sonra bile veya en azından bunların düzeltildiği söylendiğinden beri birçok güvenlik açığı sistemleri savunmasız bıraktı.
UEFI bootkitleri oldukça güçlü birer tehdit anlamına geliyor çünkü, söz konusu bootkitler, işletim sistemi önyüklemesi üzerindeki tüm kontrolü ele geçirip farklı işletim sistemi güvenlik işleyişini devre dışı bırakıyor ve bu sistemlere erken önyükleme aşamalarındaki kendi çekirdek modu veya kullanıcı modu yüklerini yayıyor. Söz konusu bootkitler böylece gizli bir şekilde ve büyük ayrıcalıklara sahip olarak çalışabiliyor. Bugüne kadar herkes tarafından bilinen ve kullanımda olan yalnızca birkaç bootkit tespit edilmiştir. ESET Research tarafından 2018’de tespit edilen ve kullanımda olan ilk UEFI donanım yazılımı LoJax gibi implantlar ile kıyaslandığında, kolayca erişilebilir FAT32 disk bölümünde yer aldıkları için UEFI bootkitleri gizlilik konusunda kaybedebilir. Ancak bir önyükleme yükleyicisi olarak çalışmaları, donanım yazılımı implantlarına karşı koruma sağlayan birçok güvenlik katmanı özelliklerini aşmaya gerek kalmadan, bootkitlere hemen hemen aynı özellikleri sağlıyor.
Smolár sözlerini şöyle tamamlıyor: “Elbette en iyi tavsiye, bir tehdidin daha en başında, işletim sistemi öncesi kalıcılığa ulaşmadan önce durdurulma şansını artırmak için sisteminizi ve güvenlik yazılımını güncel tutmaktır.”
BlackLotus hakkında daha fazla teknik bilgi ve bu tehditle ilgili önlem ve iyileştirme tavsiyeleri için WeLiveSecurity’de yer alan “BlackLotus UEFI Bootkiti: Efsane gerçek oldu” isimli blog yazısına göz atın. ESET Research’ten en güncel haberleri almak için Twitter’da ESET Research hesabını takip etmeyi unutmayın.
