'Tam Kontrol' saldırısı onaylandığı için tüm Windows kullanıcıları derhal güncelleme yapmalıdır

Birkaç hafta önce, siber güvenlik firması Eclypsium'dan araştırmacılar ortaya neredeyse tüm büyük donanım üreticilerinin, kötü niyetli uygulamaların kullanıcı düzeyinde çekirdek ayrıcalıkları kazanmasına ve böylece bellenime ve donanıma doğrudan erişim kazanmasına izin verebilecek bir kusura sahip olduğunu.

Araştırmacılar, Toshiba, ASUS, Huawei, Intel, Nvidia ve daha fazlasını içeren BIOS satıcıları ve donanım üreticilerinin bir listesini yayınladı. Kusur, Windows 7, 8, 8.1 ve Windows 10'u içeren tüm yeni Windows sürümlerini de etkiliyor. Microsoft, Windows Defender'ın sorunu çözmekten daha fazlasını yapabileceğini onaylayan bir bildiri yayınlamış olsa da, kullanıcıların ihtiyaç duyduğundan bahsetmedi. Aynı yararlanmak için Windows'un en son sürümünde olmak. Windows'un eski sürümleri için Microsoft, kendilerine bildirilen sürücüleri kara listeye almak için HVCI (Hypervisor-enforced Code Integrity) özelliğini kullanacağını belirtti. Ne yazık ki, bu özellik yalnızca 7. nesil ve sonraki Intel işlemcilerde mevcuttur; bu nedenle daha eski CPU'lar veya HCVI'nin devre dışı bırakıldığı daha yeni CPU'lar, sürücülerin manuel olarak kaldırılmasını gerektirir.

Bu yeterince kötü haber değilse, bilgisayar korsanları artık kullanıcıları sömürmek için kusuru kullanmayı başardılar. Uzaktan Erişim Truva Atı veya RAT yıllardır var ama son gelişmeler onu her zamankinden daha tehlikeli hale getirdi. NanoCore RAT, Dark Web'de 25 dolara satılıyordu, ancak 2014'te kırıldı ve ücretsiz sürüm bilgisayar korsanlarının kullanımına sunuldu. Bundan sonra, yeni eklentiler eklendikçe araç karmaşıklaştı. Şimdi, LMNTRX Labs araştırmacıları, bilgisayar korsanlarının kusurdan yararlanmasına olanak tanıyan yeni bir eklenti keşfetti ve araç artık Dark Web'de ücretsiz olarak mevcut.

Aracı hafife alıyorsanız, bir bilgisayar korsanının uzaktan kapatma veya sistemi yeniden başlatmasına, dosyalara uzaktan göz atmasına, Görev Yöneticisine, Kayıt Defteri Düzenleyicisine ve hatta fareye erişmesine ve kontrol etmesine izin verebilir. Saldırgan aynı zamanda web sayfalarını açabilir, web kamerası etkinlik ışığını devre dışı bırakarak kurbanı fark etmeden gözetleyebilir ve ses ve video yakalayabilir. Saldırganın bilgisayara tam erişimi olduğundan, parolaları kurtarabilir ve bir keylogger kullanarak oturum açma kimlik bilgilerini alabilir ve ayrıca bilgisayarı fidye yazılımı gibi davranabilen özel şifreleme ile kilitleyebilir.

İyi haber şu ki, NanoCore RAT yıllardır var, yazılım güvenlik araştırmacıları tarafından iyi biliniyor. LMNTRX ekibi (üzerinden Forbes) tespit tekniklerini üç ana kategoriye ayırdı:

• T1064 – Komut Dosyası Oluşturma: Komut dosyası oluşturma, sistem yöneticileri tarafından rutin görevleri gerçekleştirmek için yaygın olarak kullanıldığından, PowerShell veya Wscript gibi meşru komut dosyası oluşturma programlarının herhangi bir anormal şekilde yürütülmesi, şüpheli davranışlara işaret edebilir. Ofis dosyalarını makro kodu için kontrol etmek, saldırganlar tarafından kullanılan komut dosyalarının belirlenmesine de yardımcı olabilir. Winword.exe yumurtlama cmd.exe örnekleri veya wscript.exe ve powershell.exe gibi komut dosyası uygulamaları gibi ofis işlemleri kötü amaçlı etkinliği gösterebilir.

• T1060 – Kayıt Defteri Çalıştırma Anahtarları / Başlangıç ​​Klasörü: Bilinen yazılımlar veya yama döngüleri ile ilişkili olmayan çalıştırma anahtarlarına yönelik değişiklikler için Kayıt Defteri'nin izlenmesi ve eklemeler veya değişiklikler için başlangıç ​​klasörünün izlenmesi, kötü amaçlı yazılımların tespit edilmesine yardımcı olabilir. Başlangıçta yürütülen şüpheli programlar, geçmiş verilerle karşılaştırıldığında daha önce görülmemiş aykırı değerler olarak görünebilir. Bu önemli konumları izleyen ve herhangi bir şüpheli değişiklik veya ekleme için uyarı veren LMNTRIX Respond gibi çözümler, bu davranışların tespit edilmesine yardımcı olabilir.

• T1193 – Zıplama Eki: LMNTRIX Detect gibi Ağ İzinsiz Giriş Tespit sistemleri, geçiş sırasında kötü amaçlı eklerle hedef odaklı kimlik avını tespit etmek için kullanılabilir. LMNTRIX Detect durumunda, yerleşik patlama odaları, imzalardan ziyade davranışa dayalı olarak kötü niyetli ekleri algılayabilir. İmza tabanlı algılama, genellikle yüklerini sık sık değiştiren ve güncelleyen saldırganlara karşı koruma sağlayamadığı için bu çok önemlidir.

Genel olarak, bu algılama teknikleri kuruluşlar ve kişisel/ev kullanıcıları için geçerlidir, şu anda yapılacak en iyi şey, yazılımın her parçasını güncellemek ve en son sürümde çalıştığından emin olmaktır. Buna Windows sürücüleri, 3. taraf yazılımlar ve hatta Windows Güncellemeleri dahildir. En önemlisi, herhangi bir şüpheli e-postayı indirmeyin veya açmayın ya da bilinmeyen bir satıcıdan herhangi bir 3. taraf yazılımı yüklemeyin.