UEFI'da zararlı yazılım nasıl tespit edilir?

Katılım
8 Ocak 2024
Mesajlar
309
Çözümler
5
Beğeniler
134
EndeavourOS kullanıyorum. UEFI'ye yerleşmiş bir zararlı yazılım varsa nasıl tespit edebilirim? Bunun için birkaç yıl önce Eset antivirüs programıyla UEFI kısmını taratmıştım, bir şey çıkmamıştı. Hem Windows 10'dayken taratmıştım, hem de Eset'in flash belleğe yüklenebilen ve flash bellekten boot edilip çalıştırılabilen yazılımıyla (Eset SysRescue Live) taratmıştım. Anakartım Asus Z97 Pro Gamer.

 
Eğer Windows kullanıyorsan şu anda mountvol x: /s ile EFI diskine bakabilirsin. Linux ise lsblk -f dene ama UEFI virüsü çok nadirdir.
 
Normalde Secure Boot bunu engellemek için kullanılıyor. Bootloaderınızdaki dosyaların bütünlüğünü ve imzalarını doğrulayarak çalışıyor, ve orada olmaması gereken bir şey tespit ederse Bootloader yüklenmiyor.

GNU/Linux dağıtımlarda şu an redhat, canonical destekli dağıtımlar ve Debian'da Secure Boot desteği bulunuyor, Bootloader ve çekirdekleri imzalanmış şekilde geliyor.

Siz bunu kendiniz el ile veya bir betik ile yapabilirsiniz. Bootloaderınızı yeniden yükleyerek bütünlüğünden emin olduğunuz bir kopyaya sahip olduktan sonra, bir betik hazırlayıp /boot/EFI dizinindeki bütün dosyaların SHA256 veya SHA512 formatında bütünlüğünü hesaplayıp ve bu değerleri bir dosyaya kaydetsin. Bunu systemd servisi oluşturarak bilgisayar kapanırken veya yeniden başlatma sinyali iletildiğinde çalışacak. Bir başka betik ise sistem her açıldığında yine benzer şekilde daha önce hangi formatta bütünlüğü hesaplandıysa aynı kriptografik fonksiyonla yeniden hesaplama yapıp, daha önce değerlerin kayıt edğildiği dosyada bulunan değerler ile karşılaştırarak doğrulama yapmış olacaksınız. Doğrulama başarılı olduğunda veya olmadığında bir ses dosyası oynatabilirsiniz.

Alternatif olarak Secure Boot açmak isterseniz o da mümkün ama her çekirdek güncellemesinde bütün Bootloader ve çekirdeği tekrar imzalamanız gerecek. Pekala bir betik ile otonom hale getirebilirsiniz bu süreci.
 
@8415 Anakartım Asus marka. Asus'un web sitesinden anakartım için bios indirilebiliyor ancak hiçbir hash değeri paylaşılmamış.
Bu durumda ne yapabilirim? Yoksa hash değerlerinin web sitesinde paylaşılmamış olması bir sorun oluşturmaz mı?
 
@sağlık olsun Biraz kavram karmaşası var gördüğüm kadarıyla. Normalde UEFI direkt erişip tarayabileceğin bir şey değil. Öyle yazdığını görünce EFI bootloader'ından bahsettiğini düşündüm.

UEFI, anakart veya bilgisayar üreticilerinin sunduğu BIOS'un yerine alan modern bir firmware. Açılış sırasında F12 veya Delete tuşlarına basarak eriştiğin donanım üzerinde bir çok değişiklik yapabildiğin arayüz sunan yazılım. Anakart üzerinde SPI Flash diye tabir edilen ve çok küçük boyutlarda(8MB, 16MB, 64MB, 128MB ...) olan belleklerde saklanır.

EFI Bootloader ise boyutu genelde 1GB veya daha az olan ESP(EFI (Extensible Firmware Interface) system partition) formatında olan mantıksal bir bölümün içerisinde İşletim sisteminin diskten yüklenmesini sağlayan yazılım(lar).



Anakartın üzerinde bulunan SPI Flash bellekte bulunan UEFI'nin ele geçirilmesi çok uç bir örnek ve çok üst seviye saldırganların(İstihbarat örgütleri, devlet destekli gruplar) hedefinde değilsen çok düşük bir olasılık. Teorik olarak mümkün, örneğin Lenovo'nun Microsoft Windows için çalışan bir güncelleme yazılımı var, bilgisayar yeniden başlatıp yeni UEFI firmware'i yüklüyor. Bu tersine mühendislikle araştırılıp farklı veya değiştirilmiş bir firmware'de yüklenebilir.

Bunu düzenli olarak kontrol etmek çok daha güç, anakartın üzerindeki bellek çipinden doğrudan okuma yapmanız gerek veya üreticinin sunduğundan farklı ve güvenli bir UEFI firmware kullanmalısınız.(bkz. Dasharo, Dasharo + Heads(coreboot + Heads))


Diğer bir durum olan EFI Bootloader'ına zararlı yazılım bulaşması ise yine uç bir örnek ama daha olası ve daha çok örneği mevcut. Önceki mesajımda da açıkladığım üzere eğer SecureBoot(Debian, Ubuntu, Fedora, SUSE tabanlı dağıtımlar) etkinleştirme imkanınız yok ise, sistem kapatılırken /boot/EFI altındaki bütün dosyaların hashleri alınıp, işletim sistemi açıldığında tekrar hesaplatıp bunların karşılaştırmasını yapmanız gerekiyor.

Eğer güvenlik ön planda bir işletim sistemi arayışınız var ise Qubes OS veya kullanımı daha kolay olan KickSecure projelerine bakmanızı tavsiye ederim.


 
Son düzenleme:
Bu siteyi kullanmak için çerezler gereklidir. Siteyi kullanmaya devam etmek için çerezleri kabul etmelisiniz. Daha Fazlasını Öğren.…