ESPecter arka kapıdan gelir ve klasik antivirüs çözümlerini atlar. ESET araştırmacıları, yeni bir UEFI kötü amaçlı yazılım biçimi keşfettiler. Kötü amaçlı yazılımın yeni çeşidi, EFI sistem bölümünde (ESP) bulunur.
Avrupalı BT güvenlik üreticisinin uzmanları, ESPecter ile, Windows sürücü imzasını atlayan ve kendi imzasız sürücüsünü yükleyebilen, casusluk faaliyetlerini çok daha kolaylaştıran, sözde bir UEFI önyükleme kiti keşfettiler. Mevcut önyükleme seti, daha önce ESET tarafından keşfedilen UEFI kötü amaçlı yazılımının daha da geliştirilmiş halidir. Tümleşik UEFI tarayıcılı ESET güvenlik çözümleri, özel ve kurumsal bilgisayarları bu olası güvenlik açığından korur.
ESPecter 2012'den beri aktiftir.
"ESPecter'in köklerini 2012'ye kadar takip edebildik. Önceden, eski BIOS'lu sistemler için casus program kullanılıyordu. UEFI önyükleme kitini Martin Smolár ile birlikte keşfeden ESET araştırmacısı Anton Cherepanov, "Uzun süredir var olmasına rağmen, ESPecter ve işlemleri ve UEFI'ye yükseltme uzun süre fark edilmedi" diyor.
Daha önce kullanımda olan benzer varyant
ESPecter, güvenliği ihlal edilmiş bir makinede keylogging ve belge çalma özelliği ile birlikte keşfedildi. Bu nedenle ESET araştırmacıları, ESPecter'in esas olarak casusluk amacıyla kullanıldığını varsaymaktadır. ESET telemetrisini kullanan ESET araştırmacıları, bu bootkit'in başlangıcını en az 2012 yılına tarihleyebildiler. Kötü amaçlı yazılımın bileşenlerinin yıllar içinde neredeyse hiç değişmemiş olması ilginçtir. 2012 ve 2020 sürümleri arasındaki farklar sanıldığı kadar önemli değil. Bunca yıllık oldukça küçük değişikliklerden sonra, ESPecter'in arkasındaki geliştiriciler, kötü amaçlı yazılımlarını eski BIOS sistemlerinden modern UEFI sistemlerine geçirmeye karar vermiş görünüyor.
UEFI bootkit'lerine karşı koruma ipuçları
"ESPecter, kötü amaçlı yazılımın arkasındaki geliştiricilerin UEFI üretici yazılımına yerleştirmeye güvendiğini ve mevcut güvenlik mekanizmalarına rağmen bunu gerçekleştirdiğini gösteriyor. UEFI Güvenli Önyükleme ile bu tür teknikler kolayca engellenebilir," diye devam ediyor Martin Smolár. ESPecter veya benzeri tehditlere karşı korunmak için ESET, kullanıcılara şu basit kuralları izlemelerini önerir:
- Her zaman en son üretici yazılımı sürümünü kullanın.
- Sistemin doğru şekilde yapılandırıldığından ve Güvenli Önyüklemenin etkinleştirildiğinden emin olun.
- Saldırganların bootkit kurulumu için gereken ayrıcalıklı hesaplara erişmesini önlemek için şirkette Ayrıcalıklı Hesap Yönetimi'ni (PAM) yapılandırın.
UEFI tarayıcılı bir güvenlik çözümü kullanmak da bu tür tehditlere karşı koruma sağlar. ESET bu teknolojiye varsayılan olarak kurumsal ve ev uç nokta güvenlik çözümlerinde yerleşik olarak sahiptir.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.