UEFI’yi Hedef Alan İlk Zararlı Yazılım: LoJax
ESET, LoJax adlı yeni bir zararlı yazılım hakkında detaylı bir rapor yayınladı. Uzun süredir UEFI yazılımlarına virüs bulaşılabileceği konuşulurken, ilk defa bu yöntemi kullanan bir virüs bulundu. LoJax adlı bu virüs, UEFI güvenliğinin ne kadar önemli bir güvenlik sistemi olduğu gösterdi.
UEFI’yi Hedef Alan İlk Zararlı Yazılım: LoJax
Bilgisayarınızın firmware'ini işletim sistemine bağlayan UEFI, bilgisayarınızdaki en temel ve hassas değişkenleri barındırıyor. Bu alanda yapılacak değişiklikler bilgisayarda kalıcı hasarlara yol açabiliyor. İşin daha da çetrefilli kısmı, UEFI virüslerinin oldukça zor tespit edilebilir olmasıdır. Ayrıca işletim sistemini baştan yüklemek ve sabit diski komple değiştirmek bu virüsleri etkilemiyor.
Tasarım aşamasındaki bazı UEFI virüsleriyle karşılaşmıştık fakat ilk defa dağıtımı yapılmış olan gerçek bir virüs ortaya çıktı. Bu virüsü Sednit APT grubunun yayınlandığı söyleniyor. UEFI virüsünün ortaya çıkmasının en önemli 2 sebebi:
- UEFI virüslerinin gerçek bir tehdit olduğu söyleniyor.
- Sednit'in hedefindeki şirketler için aynı zamanda bir uyarı niteliği taşır.
Sednit, 2004 yılından bu yana çalışmalarını sürdüren bir hacker grubudur. Yüksek profilli saldırılar düzenliyorlar. ABD'nin 2016'daki seçimlerinin hemen öncesinde Demokratik Ulusak Komite'yi hackleyen grup, çeşitli TV kanalları, e-posta sızdırmaları gibi olayların da arkasında bulunuyorlar. Bu grubun elinde çok zararlı yazılım seçenekleri var. Yapılan araştırmalar sonucunda, Sednit'in modifiye ettiği UEFI modülünü sistemin SPI flaş hafızasına başarılı bir şekilde yazabildiği görülüyor.
UEFI'ye yüklenen bir virüs sonrasında, sabit diski değiştirmek veya işletim sistemini baştan yüklemek gibi çözümler işe yaramıyor. Virüsten ancak UEFI firmware'ini baştan yükleyerek kurtulabiliyorsunuz. Bunun yolunu da çoğu bilgisayar kullanıcısı bilmiyor. LoJax virüsünün bulaştığı bilgisayarlarda, UEFI'ye erişebilen ve BIOS ayarlarını değiştirebilen birçok araç bulundu.
LoJax virüsünden nasıl korunulur?
Sednit'in UEFI virüsü doğru bir şekilde imzalanmadığı için Secure Boot gibi güvenlik mekanizmaları tarafından engellenebilir. Secure Boot açık olduğunda, yüklenecek olan firmware'lerin dijital imzalı olması gerekiyor. Bunun için UEFI/BIOS'unu güncellemenizi tavsiye ediyoruz. Bu sayede oldukça zararlı olan bu virüsten korunabilirsiniz. Eğer virüs sisteminize bulaşırsa kesinlikle bunun çözümünü iyice araştırın yoksa bilgisayarınıza kalıcı hasar verebilir.