Siber Güvenlik Kuruluşu ESET, antivirüs endüstrisinde bir ilke imza atmış ve iki yıl önce bilgisayarların önyükleme kodlarını barındıran UEFI bölümünü taramaya başlamıştı. ESET Güvenlik Uzmanları, milyonlarca kodu içeren bu bölümdeki zararlı yazılımları ayıklayabilmek için makine öğrenimi yoluyla yeni tespit modelleri geliştiriyor.
ESET, makine öğrenimi (Machine Learning) yardımıyla, milyonlarca zararsız örnek içindeki zararlı UEFI bileşenlerini tanıyacak modeller geliştirdi. ESET uzmanları, bu çalışmalarını “Samanlıkta iğne aramak: Milyonlarca örnek içinden istenmeyen UEFI bileşenlerini ayırt etmek“ başlıklı yazı ve raporda paylaştı.
UEFI nedir?
Herhangi bir dijital cihazı çalıştırdığınızda, bir yerden başlaması gerekiyor. Unified Extensible Firmware Interface (UEFI) ya da Türkçe adıyla Birleştirilmiş Genişletilebilir Ürün Yazılımı Arayüzü, bir tür önyükleme işlevi görüyor ve cihazı başlatıp daha sonra görevi işletim sistemine devrediyor. Bu ilk kod parçası genellikle aygıtta bir çipte saklanıyor.
Siber güvenlik açısından UEFI neden önemli?
Önyükleme süreci, dijital aygıtlara izinsiz erişim konusunda uzmanlaşmış kişiler için güçlü bir motivasyon kaynağı. Bir sistemin UEFI’sine saldırmak, saldırganın tüm sistemin tam olarak kontrolünü sağlamasına neden olur. Yeniden başlatma ve/veya sabit sürücünün yeniden biçimlendirilmesine rağmen makine, yetkisiz erişimi gizlemeye devam eder.
ESET, 2018 yazılımlarında UEFI Tarayıcısı geliştirdi
Bu gelişmeleri dikkate alan antivirüs ve internet güvenliği kuruluşu ESET, geçen yıl antivirüs endüstrisinde bir ilk olarak tüm yazılımlarına UEFI taramasını da ekledi. Ve bu sayede de LoJax olarak bilinen kullanımdaki ilk UEFI Rootkit’ini keşfetti.
İlk zararlı tespitinden sonra daha etkin sistem oluşturuldu
LoJax’ın tespitinden sonra ESET Güvenlik Uzmanları, devasa UEFI çeşitliliğini etkili olarak keşfetmeye ve yeni çıkan UEFI tehditlerini güvenli şekilde fark etmeye yarayacak bir sistem oluşturmaya karar verdi. Güvenlik Uzmanları Filip Mazán and Frédéric Vachon, hazırladıkları raporda şu bilgiyi paylaştı: “Başlangıç noktası olarak ESET’in UEFI tarayıcısı tarafından toplanan telemetri verilerini kullandık ve UEFI yürütülebilir dosyaları için özel bir işlem hattı geliştirdik.“
UEFI çeşitliliğini keşfetmeye yönelik bir makine öğrenimi yöntemi
“Kullanımda olan milyonlarca UEFI yürütülebilir dosyası varken ve bunlardan yalnızca küçük bir kısmı zararlıyken, LoJax gibi kötü amaçlı yazılımlar bulmak nadir bir durumdur“ tespitini yapan Filip Mazán and Frédéric Vachon, geliştirdikleri yönteme ilişkin şunları söyledi: “Sadece geçtiğimiz iki yıl içinde, altı milyar dosyanın içinde benzersiz 2,5 milyon UEFI yürütülebilir dosyası gördük. Bunların tek tek analiz edilmesi mümkün olamayacağından, insan emeği gerektiren örnek sayısını azaltacak otomatik bir sistem oluşturmamız gerekiyordu. Bu sorunu gidermek adına, UEFI yürütülebilir dosyalarındaki olağan dışı özellikleri bularak uç örnekleri öne çıkarmak üzere tasarlanmış bir sistem oluşturduk.“
Gerçek zamanlı izleme
Uzmanlar sözlerini şöyle sürdürdü: “Makine öğrenimi tabanlı yaklaşımımız analistlerimizin iş yükünü %90’a kadar azaltıyor. Ayrıca yeni gelen her UEFI yürütülebilir dosyasının veri kümesine eklenmesi, işlenmesi, dizinlenmesi ve değerlendirme ölçütü olarak kullanılması sayesinde çözümümüz, UEFI çeşitliliğinin gerçek zamanlı izlenmesini sağlayabiliyor.“
Tarayıcı nerede var?
ESET NOD32 Antivirus’ün yanı sıra ESET Internet Security, ESET Smart Security Premium ve ESET Multi-Device Security yazılımlarında ve kurumsal Endpoint yazılımlarıyla önyükleme bölümü artık taranıyor. ESET UEFI Tarayıcısı, UEFI bölümünü kontrol ediyor ve herhangi bir şüpheli etkinlik kaydedildiğinde kullanıcıları uyarıyor.
ESET’in “How we found unwanted UEFI components hidden in a sea of millions of samples“ raporuna buradan ulaşmak mümkün.
Konuyla ilgili detaylı makale ise şu linkten takip edilebilir.