Microsoft son zamanlarda bu yıl 24 Haziran'da yapılan Windows 11 duyurusu nedeniyle haberlerde yer alıyor. Ancak insanlar arasında tartışma konusu olmasının tek nedeni bu değil. Son zamanlarda ortaya çıkan kötü amaçlı yazılım bilgilerinin yanı sıra yayınladığı çok sayıda güncelleme gibi birkaç neden daha var.
Microsoft Güvenlik Yanıt Merkezi (MSRC), kötü amaçlı bir sürücü içeren bir sürücüyü kabul ettiğini itiraf etti. Çin'deki komuta ve kontrol (C2) sunucularıyla veri alışverişi yapan Rootkit Kötü Amaçlı Yazılım. Görünüşe göre bazı kötü niyetli aktörler, Redmond devini oyun ortamlarını hedef almak üzere tasarlanmış bir Netfilter Sürücüsü imzalaması için kandırmış. Sürücü, oynatıcının coğrafi konumunu gizlemek ve herhangi bir bölgeden oynatmak için kullanıldı.
Bu kötü amaçlı yazılımın ilk örneği, Alman siber güvenlik şirketi G Data'da kötü amaçlı yazılım analisti olan Karsten Hahn tarafından tespit edildi. “”Windows Vista'dan bu yana, işletim sisteminin kararlılığını sağlamak için çekirdek modunda çalışan herhangi bir kodun halka açıklanmadan önce test edilmesi ve imzalanması gerekiyor.” dedi Hahn. "Microsoft sertifikası olmayan sürücüler varsayılan olarak yüklenemez" diye devam etti.
Bu Kötü Amaçlı Yazılım Nasıl İşledi?
MSRC, kötü niyetli kişilerin bu kötü amaçlı yazılımı diğer oyuncuları istismar etmek ve bir keylogger kullanarak hesap kimlik bilgilerini ele geçirmek için kullandığını açıkladı. Ayrıca banka/kredi kartı bilgileri ve e-posta adresleri gibi diğer bilgileri de hacklemeyi başarmış olabilirler.
Netfilter'ın, kullanıcıların paket filtrelemeyi etkinleştirmesine ve ağı tercüme etmesine olanak tanıyan yasal bir uygulama paketi olduğunu belirtmek ilginçtir. adresler. Ayrıca yeni kök sertifikalar ekleyebilir, yeni bir proxy sunucusu kurabilir ve internet ayarlarının değiştirilmesine yardımcı olabilir.
Kullanıcılar bu uygulamayı sistemlerine yükledikten sonra, yapılandırma bilgilerini almak için bir C2 sunucusuna bağlandı ve güncellemeler. Microsoft ayrıca saldırıda kullanılan tekniklerin istismar sonrasında gerçekleştiğini, bunun da rakibin önce yönetici ayrıcalıkları kazanması ve ardından sistem başlatılırken sürücüyü yüklemesi gerektiğini gösterdiğini açıkladı.
“Güvenlik ortamı hızla gelişmeye devam ediyor Tehdit aktörleri, geniş bir vektör yelpazesindeki ortamlara erişim sağlamak için yeni ve yenilikçi yöntemler buluyor," dedi MSRC.
Hahn, kötü amaçlı yazılımı bulması ile tanınan asıl kişiydi ancak daha sonra Hahn'a diğer kötü amaçlı yazılım araştırmacıları da katıldı. Johan Aydınbaş, Takahiro Haruyama ve Florian Roth. Microsoft'un kod imzalama süreciyle ilgili endişeleri vardı ve Microsoft'un onaylı sürücü setinde başka kötü amaçlı yazılımların gizlenip gizlenmediğinden şüphe ediyordu.
Kötü Amaçlı Aktörlerin İşleyiş Yöntemleri
Microsoft bilgilendirildikten sonra olayı araştırmak ve bir daha yaşanmamasını sağlamak için önleyici tedbirleri almak için gerekli tüm adımları atıyor. Microsoft, çalınan kod imzalama sertifikalarının kullanıldığına dair herhangi bir kanıt bulunmadığını belirtti. Bu kötü amaçlı yazılımın arkasındaki kişiler, sürücüleri Microsoft'un Sunucularına gönderme yasal sürecini izledi ve ayrıca Microsoft imzalı ikili dosyayı yasal olarak edindi.
Microsoft, sürücülerin üçüncü taraf bir geliştirici tarafından oluşturulduğunu ve aracılığıyla onaya sunulduğunu belirtti. Windows Donanım Uyumluluk Programı. Bu olaydan sonra Microsoft, bu sürücüyü gönderen hesabı askıya aldı ve bu hesap tarafından yapılan tüm gönderimleri öncelikli olarak incelemeye başladı.
Ayrıca Microsoft, doğrulamanın yanı sıra iş ortağı erişim politikalarını da iyileştireceğini söyledi. ve korumayı daha da geliştirmek için imzalama süreci.
Microsoft ile ilgili son noktalar, Rootkit Kötü Amaçlı Yazılım yüklü Netfilter sürücüsünde oturum açmayı kabul ediyorMicrosoft, kötü amaçlı yazılımın Çin'deki oyun sektörüne saldırmak için tasarlandığını ve bu işin işi gibi göründüğünü iddia ediyor yalnızca birkaç kişiden. Bir kuruluşu veya kuruluşu kötü amaçlı yazılıma bağlayan hiçbir bağlantı yoktur. Ancak, bu tür yanıltıcı ikili dosyalardan herhangi birinin büyük ölçekli bir yazılım
saldırısı başlatmak için yararlanabileceği anlaşılmalıdır. Geçmişte İran'ın nükleer programına saldıran Stuxnet saldırısı gibi bu tür saldırılar kolaylaştırılmıştı. Bunun nedeni, kod imzalama için kullanılan sertifikaların Realtek ve JMicron'dan çalınmasıydı.
Microsoft, Windows 11 lansmanına hazırlanırken, bu olay, Microsoft'un işletim sistemleriyle sağladığı emniyet ve güvenlik konusunda şüphe uyandırıyor. . Ne düşünüyorsun? Lütfen düşüncelerinizi aşağıdaki yorumlar bölümünde paylaşın. Bizi sosyal medyada takip edin – .
Okunma: 0
