ESET, Samanlıktaki İğneyi Teknolojiyle Buluyor

Yerkürenin en büyük siber güvenlik kuruluşlarından biri olan ESET, makine tahsili (Machine Learning) yardımıyla, milyonlarca zararsız örnek içindeki zararlı UEFI bileşenlerini tanıyacak modeller geliştirdi. ESET bilirkişileri, bu çalışmalarını “Samanlıkta iğne aramak: Milyonlarca örnek içinden istenmeyen UEFI bileşenlerini ayırt etmek” başlıklı yazı ve raporda paylaştı.

UEFI nedir?

Rastgele bir dijital cihazı çalıştırdığınızda, bir yandan başlaması gerekiyor. Unified Extensible Firmware Interface (UEFI) ya da Türkçe ismiyle Birleştirilmiş Genişletilebilir Eser Yazılımı Arayüzü, bir çeşit önyükleme işlevi görüyor ve cihazı başlatıp daha sonra hizmeti işletim sistemine devrediyor. Bu birinci kod modülü ekseriyetle aygıtta bir çipte saklanıyor.

Siber güvenlik açısından UEFI neden kıymetli?

Önyükleme süreci, dijital aygıtlara olursuz erişim konusunda uzmanlaşmış kimseler için güçlü bir motivasyon menşesi. Bir sistemin UEFI’sine saldırmak, saldırganın tüm sistemin tam olarak denetimini sağlamasına neden olur. Yine başlatma ve/veya sabit sürücünün yine biçimlendirilmesine karşın makine, yetkisiz erişimi gizlemeye devam eder.

ESET, 2018 yazılımlarında UEFI Tarayıcısı geliştirdi

Bu gelişmeleri dikkate alan antivirüs ve internet güvenliği kuruluşu ESET, geçen yıl antivirüs sanayisinde bir birinci olarak tüm yazılımlarına UEFI taramasını da ekledi. Ve bu sayede de LoJax olarak bilinen tasarruftaki birinci UEFI Rootkit’ini keşfetti.

Birinci zararlı tespitinden sonra daha aktif sistem oluşturuldu

LoJax’ın tespitinden sonra ESET Güvenlik Mütehassısları, devasa UEFI çeşitliliğini tesirli olarak keşfetmeye ve yeni çıkan UEFI tehditlerini inançlı biçimde fark etmeye yarayacak bir sistem oluşturmaya karar verdi. Güvenlik Bilirkişileri Filip Mazán and Frédéric Vachon, hazırladıkları raporda şu bilgiyi paylaştı: “Başlangıç noktası olarak ESET’in UEFI tarayıcısı tarafından toplanan telemetri datalarını kullandık ve UEFI yürütülebilir evrakları için şahsi bir süreç hattı geliştirdik.”

UEFI çeşitliliğini keşfetmeye yönelik bir makine tahsili yolu

“Kullanımda olan milyonlarca UEFI yürütülebilir evrakı varken ve bunlardan sadece küçük bir kısmı zararlıyken, LoJax üzere makûs gayeli yazılımlar bulmak nadir bir durumdur” tespitini yapan Filip Mazán and Frédéric Vachon, geliştirdikleri prosedüre ait şunları söyledi: “Sadece geçtiğimiz iki yıl içinde, altı milyar evrakın içinde benzersiz 2,5 milyon UEFI yürütülebilir belgesi gördük. Bunların tek tek tahlil edilmesi mümkün olamayacağından, insan emeği gerektiren örnek sayısını azaltacak otomatik bir sistem oluşturmamız gerekiyordu. Bu sorunu gidermek ismine, UEFI yürütülebilir evraklarındaki olağan dışı özellikleri bularak uç örnekleri öne çıkarmak üzere tasarlanmış bir sistem oluşturduk.”

Gerçek vakitli izleme

Eksperler laflarını şöyle sürdürdü: “Makine tahsili tabanlı yaklaşımımız analistlerimizin iş yükünü %90’a kadar azaltıyor. Başkaca yeni gelen her UEFI yürütülebilir belgesinin done kümesine eklenmesi, işlenmesi, dizinlenmesi ve kıymetlendirme ölçütü olarak kullanılması sayesinde tahlilimiz, UEFI çeşitliliğinin gerçek devirli izlenmesini sağlayabiliyor.”

Tarayıcı nerede var?

ESET NOD32 Antivirus’ün yanı sıra ESET Internet Security, ESET Smart Security Premium ve ESET Multi-Device Security yazılımlarında ve kurumsal Endpoint yazılımlarıyla önyükleme kısmı artık taranıyor. ESET UEFI Tarayıcısı, UEFI kısmını denetim ediyor ve rastgele bir kuşkulu aktiflik kaydedildiğinde kullanıcıları uyarıyor.