Fivesys'in İncelenmesi – Yetkisiz Microsoft Tarafından Yayınlanmış Dijital İmza
Yayınlanan: 2022-12-23- Rootkit Nedir?
- Fivesys Rootkit nedir?
- Microsoft'un Dijital İmzasını Nasıl Aldı?
- Fivesys gibi Rootkit'lerden Nasıl Kurtulur?
- 1. Rootkit kaldırma yazılımını kullanın.
- 2. Bir önyükleme zamanı taraması çalıştırın.
- 3. Aygıtı silin ve işletim sistemini yeniden yükleyin.
- Rootkit'lerden Korunmak İçin Ne Yapabiliriz?
- Sarma
Bilgisayar korsanları, bir şekilde Microsoft'un dijital onay mührünü almış bir bilgisayar sistemine yetkisiz erişim sağlayan bir rootkit'ten veya kötü amaçlı yazılımdan yararlanıyor . Bu endişe verici keşif, kötü amaçlı yazılımlara karşı ne kadar savunmasız olduğumuz konusunda önemli soruları gündeme getiriyor. Bu rootkit'e ve Microsoft'un güvenlik protokollerini nasıl atlattığına daha yakından bakalım.
Rootkit Nedir?
Rootkit'ler, siber suçluların bilgisayar sistemlerinin kontrolünü ele geçirmek için kullanabilecekleri kötü amaçlı yazılım araçlarıdır. Bu araçlar, saldırganların kötü amaçlı yazılımları ve kötü amaçlı etkinlikleri gizlemesine ve hatta tespit edilmeden bir sisteme erişmesine olanak tanır.
Rootkit'ler, on yıldan uzun bir süre önce siber suçların en büyük avcılarıydı. Bu gizli bilgisayar programları, saldırganlara kurbanların bilgisayarlarında kesintisiz bir dayanak sağlarken, işletim sisteminden ve kötü amaçlı yazılımdan koruma çözümlerinden gelen kötü niyetli etkinlikleri gizleyecek şekilde tasarlanmıştır.
Windows Vista ile sunulan güvenlik azaltmaları, işletim sisteminin çekirdeğinde yaşayan bu davetsiz misafirleri tahliye etti, ancak ara sıra yeniden ortaya çıkıyorlar.
Rootkit'ler, sistem sahibinin veya yöneticisinin algılamasını zorlaştıran arka kapılar, keylogger'lar, veri çalan kötü amaçlı yazılımlar, kötü amaçlı komut dosyaları ve diğer karmaşık yöntemler içerebilir. Güvenlik açıklarından yararlanarak, kullanıcı kimlik bilgilerine ihtiyaç duymadan bir sistemin kontrolünü ele geçirebilir ve bunlarda saklanan gizli bilgilere erişebilirler.
Bu nedenle, siber güvenlik için hafife alınmaması gereken tehlikeli bir tehdit oluşturuyorlar . Aslında, rootkit tehditleri daha gelişmiş ve karmaşık hale geldikçe, kuruluşların ve bireylerin mevcut en son savunma mekanizmalarından haberdar olmaları ve bu tür saldırılara karşı korunmak için sistemlerini düzenli olarak güncellemeleri giderek daha önemli hale geliyor.
Fivesys Rootkit nedir?
Siber güvenlik firması Bitdefender'ın yakın tarihli bir raporuna göre, e-suçlular, ürkütücü bir şekilde Microsoft'tan e-imza alan "FiveSys" adlı bir rootkit kullanıyor.
Kötü amaçlı programın, saldırganlara virüslü sistemlerde "neredeyse sınırsız ayrıcalıklar" verdiği iddia ediliyor ve bilgisayar korsanları, kimlik bilgilerini çalmak ve oyun içi satın almaları ele geçirmek için çevrimiçi oyuncuları hedef almak için kullandı. Araştırmacılara göre, "FiveSys" diğer veri hırsızlığı türlerine de yönlendirilebilir.
Meşru görünümlü bir Microsoft Windows Donanım Kalite Laboratuvarları Testi (WHQL) sürücü sertifikasının eklenmesi nedeniyle, FiveSys rootkit'i hedeflenen sistemlere erişim sağlamayı başardı.
WQOS, son kullanıcılara güven veren, resmi Windows Update programı aracılığıyla sertifikalı sürücülerin bir Windows bilgisayarına yüklenmesine izin veren türünün tek örneği bir dijital imza oluşturur. Rootkit, yüklendikten sonra yaratıcılarına neredeyse sınırsız ayrıcalıklar verir.
Bir güvenlik firması olan Bitdefender, geçerli e-imzalara sahip kötü amaçlı sürücülerdeki artışı keşfetti. Şirkete göre söz konusu rootkit, saldırganların HTTP ve HTTPS trafiğini saldırgan tarafından kontrol edilen proxy sunucularındaki alanlara yönlendirerek güvenliği aşmasına ve hedeflenen bir sisteme erişim ve kontrol kazanmasına olanak tanıyor.
Güvenliği ihlal edilmiş WHQL sertifikası, bu yılın başlarında keşfedilen Netfilter rootkit'te kullanılana benzer. Fivesys, bir Microsoft sertifikası kullanan ikinci rootkit'tir ve Bitdefender, daha fazla saldırının meşru sürücü sertifikalarını kullanacağını tahmin etmektedir.
Bitdefender'a göre FiveSys, Çin'de ortaya çıktı ve öncelikle Çinli çevrimiçi oyun oyuncularını hedef aldığı görüldü. Güvenlik firmasına göre nihai amaç, oyun içi satın alımlar yapmak için oyunlardaki kimlik bilgilerinin kontrolünü ele geçirmek. Fivesys henüz Çin dışındaki vahşi doğada görülmedi.
Bu rootkit'in güvenliği ihlal edilmiş trafiği yeniden yönlendirmesindeki rastgelelik, onu kaldırmayı zorlaştırıyor. Potansiyel yayından kaldırma girişimlerini karmaşık hale getirmek için rootkit, '.xyz' TLD'de rastgele oluşturulmuş ve ikili dosya içinde şifreli bir biçimde depolanmış gibi görünen 300 alandan oluşan bir liste içerir.
Rootkit kendini korumak için, kayıt defterini düzenleme yeteneğinin engellenmesi ve çeşitli gruplardan diğer rootkit'lerin ve kötü amaçlı yazılımların yüklenmesinin engellenmesi dahil olmak üzere çeşitli stratejiler kullanır.
Rastgele kalıp nedeniyle, etki alanlarını tanımlamak ve kapatmak zordur. Bitdefender, WHQL sürücü sertifikasının kullanılmasıyla ilgili olarak hemen Microsoft ile iletişime geçti. Microsoft, e-imzayı hızla iptal etti.
Microsoft'un Dijital İmzasını Nasıl Aldı?
Siber suçluların çalıntı dijital sertifikalar kullandıkları biliniyor, ancak bu durumda geçerli bir sertifika elde edebildiler. Siber suçluların geçerli bir sertifikayı nasıl alabildiği hâlâ net değil.
Dijital imzalar, işletmelerin ve diğer büyük kuruluşların güvenlik için kullandığı algoritmalardır. E-imzalar, belirli varlıklarla bağlantılı bir "sanal parmak izi" oluşturur ve bunların güvenilirliğini doğrulamak için kullanılır. Bir güvenlik önlemi olarak Microsoft, güvenilir kaynaklardan gelmemiş gibi görünen programları reddetmek için bir dijital imzalama süreci kullanır.
Bununla birlikte, şirketin güvenlik protokolleri , kötü niyetli programlarını Microsoft'un dijital onay damgasıyla imzalatabilen “FiveSys” rootkit ve onun siber suçlu işleyicileri ile eşleşmiyor gibi görünüyor. Bunu nasıl başardıkları belli değil.
Onay için gönderilmiş ve bir şekilde kontrollerden geçmiş olabilir. Dijital imza gereksinimleri rootkit'lerin çoğunu algılayıp durdursa da kusursuz değildir. FiveSys'in nasıl yayıldığı belli değil, ancak araştırmacılar bunun crackli yazılım yüklemeleriyle birlikte geldiğine inanıyor.
Kurulduktan sonra, FiveSys rootkit, internet trafiğini bir proxy sunucusuna yönlendirir ve bunu, tarayıcının proxy'nin bilinmeyen kimliği hakkında uyarı vermemesi için özel bir kök sertifika kurarak yapar; ayrıca, büyük olasılıkla diğer siber suçluların güvenliği ihlal edilmiş sistemden yararlanmasını engellemek amacıyla, diğer kötü amaçlı yazılımların sürücülere yazmasını da engeller.
Saldırı analizine göre FiveSys rootkit, çevrimiçi oyunculara yönelik siber saldırılarda oturum açma kimlik bilgilerini çalmak ve oyun içi satın alımları ele geçirmek için kullanılıyor.
Çevrimiçi oyunların popülaritesi nedeniyle, çok fazla para söz konusu olabilir - yalnızca bankacılık bilgilerinin hesaplarla bağlantılı olması nedeniyle değil, aynı zamanda prestijli sanal öğelerin satıldığında büyük miktarlarda para getirebilmesi, saldırganların erişimden hırsızlık ve satış yapmak için yararlanabileceğini ima etmesi nedeniyle. bu öğeler.
Şu anda saldırılar, araştırmacıların saldırganların da üslendiğine inandıkları Çin'deki oyuncuları hedefliyor.
Fivesys gibi Rootkit'lerden Nasıl Kurtulur?
Fivesys gibi rootkit'leri kaldırmak göz korkutucu ve karmaşık bir görev olabilir. Çoğu virüsten koruma çözümü bu kötü amaçlı programları algılamaz, bu nedenle bunlara karşı proaktif önlemler almak çok önemlidir. İlk adım, bilgisayarınızda rootkit'leri algılayan ve ortadan kaldıran derinlemesine bir tarama yapmaktır. Ardından, şu adımları izleyin:
1. Rootkit kaldırma yazılımını kullanın.
Windows Defender'a veya diğer yerleşik güvenlik yazılımlarına güvenmeyin, çünkü çoğu rootkit temel korumaları atlatabilir. Tam koruma için Avast One gibi özel bir yazılım kullanın. Avast, dünyanın en büyük tehdit algılama ağını makine öğrenimli kötü amaçlı yazılım korumasıyla rootkit'leri algılayıp kaldırabilen ve gelecekteki her tür çevrimiçi tehdide karşı savunma yapabilen tek, hafif bir araçta birleştirir.
2. Bir önyükleme zamanı taraması çalıştırın.
Modern kötü amaçlı yazılımlar, virüsten koruma yazılımı tarafından tespit edilmekten kaçınmak için gelişmiş teknikler kullanır. İşletim sistemi çalıştıran bir cihazdaki rootkit'ler, otomatik antivirüs taramalarını alt edebilir.
Bir virüsten koruma programı, işletim sisteminin belirli bir kötü amaçlı yazılım dosyasını açmasını isterse, rootkit veri akışını değiştirebilir ve bunun yerine zararsız bir dosyayı açabilir. Ayrıca, bir kötü amaçlı yazılım dosyasının, kötü amaçlı yazılımla ilgili bilgileri depolayan ve paylaşan ve bir taramaya dahil edilmesini önleyen numaralandırma kodunu da değiştirebilirler.
Rootkit'ler, bilgisayarınızın başlatma işlemi sırasında önyükleme sırasında yapılan taramalarla algılanır. Önyükleme sırasında taramanın avantajı, rootkit'in genellikle hala uykuda olması ve sisteminizde saklanamamasıdır.3.
3. Aygıtı silin ve işletim sistemini yeniden yükleyin.
Virüsten koruma yazılımı ve önyükleme sırasında tarama, rootkit'i kaldıramazsa, verilerinizi yedeklemeyi, cihazınızı silmeyi ve sıfırdan yüklemeyi deneyin. Bu bazen, bir rootkit önyükleme, ürün yazılımı veya hipervizör düzeylerinde çalışırken tek seçenektir.
Öncelikle, bir sabit sürücüyü nasıl biçimlendireceğinizi ve temel dosyalarınızı yedeklemek için bir sabit sürücüyü klonlayacağınızı anlamanız gerekir. Ana C: sürücüsünü silmeniz gerekse de verilerinizin çoğunu saklayabilirsiniz. Bu, bir rootkit'i kaldırmak için son seçenektir.
Kötü amaçlı yazılımdan koruma yazılımının sık sık güncellenmesi, sisteminizin yeni izinsiz giriş denemelerine karşı korunmasına da yardımcı olacaktır. Bu teknikler uygulandığında, Fivesys gibi mevcut ve gelişmekte olan rootkit'lerle uğraşmak çok daha kolay hale gelecektir.
Rootkit'lerden Korunmak İçin Ne Yapabiliriz?
Rootkit'ler, tespit edilmesi ve ortadan kaldırılması zor olabilen ciddi bir güvenlik tehdididir, ancak şansı azaltmak için alınabilecek önleyici adımlar vardır. Örneğin, işletim sisteminizi ve yazılımınızı güncel tutmak, rootkit kurulumu için bilinen saldırı vektörlerine karşı savunmasız kalmamanızı sağlar. İyi yama yönetimi burada anahtardır ve virüsten koruma yazılımı da bir zorunluluktur – saldırganların daha az seçeneğe sahip olması için virüs tanımlarıyla güncel kalın.
Herhangi bir şey indirirken de dikkatli olun - her zaman güvenilir kaynaklardan geldiğinden ve iyi incelemelere sahip olduğundan emin olun. İmzasız sürücüleri veya yürütülebilir dosyaları devre dışı bırakın, çünkü bunlar rootkit'ler için savunmasız giriş noktaları olabilir. Son olarak, sağlam bir güvenlik duvarı veya web filtreleme proxy'si, yama uygulanmamış sistemlerdeki güvenlik açıklarından yararlanmaya çalışan saldırganların engellenmesine yardımcı olacaktır. Tüm bu önleyici tedbirler size rootkit enfeksiyonlarını azaltmak için en iyi şansı verir.
Rootkit şu anda oyun hesaplarından oturum açma kimlik bilgilerini çalmak için kullanılsa da gelecekte başka hedeflere karşı kullanılabilir. Ancak birkaç basit siber güvenlik önlemi alarak bu ve benzeri saldırıların kurbanı olmamak mümkün.
Güvende olmak için yazılımı yalnızca satıcının web sitesinden veya güvenilir kaynaklardan indirin. Ayrıca modern güvenlik çözümleri, rootkit'ler dahil olmak üzere kötü amaçlı yazılımları algılayabilir ve yürütülmesini önleyebilir.
FiveSys gibi kötü amaçlı yazılımlara karşı kendinizi korumak için adımlar atmanız çok önemlidir. Sistemlerinizi en son yamalarla güncel tuttuğunuzdan emin olun; bu, bunun gibi bilinen tehditlere karşı korunmanıza yardımcı olacaktır.
Ek olarak, bilgisayar sistemlerinizde şüpheli etkinlik veya kötü amaçlı yazılım taraması yapmak için güvenilir virüsten koruma yazılımı kullanın. Son olarak, kimlik avı girişimlerine karşı dikkatli olun; Kovter gibi kötü amaçlı yazılım içerebileceklerinden, bilinmeyen kaynaklardan gelen bağlantılara veya eklere tıklamayın.
Bilgisayarınızı temizlemenin ve optimize etmenin yanı sıra, BoostSpeed gizliliği korur, donanım sorunlarını teşhis eder, hızı artırmak için ipuçları sunar ve çoğu bilgisayar bakım ve servis ihtiyacını karşılamak için 20'den fazla araç sağlar.
Sarma
Microsoft'un 'Salı Yaması' güncellemeleri sürekli olarak yeni sıfır gün güvenlik açıklarını keşfediyor ve yamalıyor. Araştırmacılar, normal bir belge dosyası gibi görünen kötü amaçlı yazılımları kullanarak GateKeeper, dosya karantinası ve noter tasdiki güvenlik mekanizmalarını atlatmanın bir yolunu bulduktan sonra, Apple ayrıca bu yılın başlarında macOS'a yama yapmak için acele etti.
Apple ayrıca, Eylül ayındaki büyük ürün lansmanından bir gün önce, hedeflerin iPhone'larına onların bilgisi olmadan kötü amaçlı yazılım yükleyebilen NSO Group'un Pegasus casus yazılımının neden olduğu bir güvenlik açığı gibi güvenlik sorunlarını gidermek için dört işletim sisteminin de yeni sürümlerini yayınladı.
FiveSys'in keşfi, yasal ama sahte görünen dijital sertifikaları kullanarak güvenlik protokollerimizi tespit edilmeden geçen kötü amaçlı yazılımlara karşı ne kadar savunmasız olduğumuza dikkat çekti. Proaktif adımlar atmak, bu tür saldırılara karşı korunmamıza yardımcı olacaktır; sistemlerimizi en son yamalarla güncel tutmak, güvenilir antivirüs yazılımı kullanmak ve kimlik avı girişimlerinin farkında olmak, kendimizi FiveSys gibi rootkit'ler gibi kötü amaçlı programlardan korumada uzun bir yol kat edebilir.