Merhaba, Konuyla ilgili Türkçe kaynak arayanların ilgisini çekebileceğini düşünerek Barikat'ın raporunu paylaşıyorum.
http://docs.barikat.com.tr/file/BA023-Equation%20Grup-v2.pdf - Aytek 19 Şubat 2015 22:43 tarihinde Celil ÜNÜVER <[email protected]> yazdı: > Selamlar, > > HDD firmware'i programlayarak kalıcılığı sağlayan bilinen ilk malware. Bu > yöntem daha önce zararlı yazılımlarda kullanılan bir yöntem olmadığı için > bu kadar ses getirdi. Raporda da 10un üzerinde HDD firmware'i enfekte > edebildiği söyleniyor. > > Registry'i filesystem olarak kullanan, fileless malware ise bilinen ve bir > süredir gündemde olan bir teknik. Win32.Poweliks bunun güzel bir örneği. > > Saygılar, > > 19 Şubat 2015 Perşembe tarihinde, Burak Dayioglu < > [email protected]> yazdı: > > Dostlar, >> Ben okuyunca bunu anlamadım? :) >> >> Kaspersky raporunda (1) diyor ki 'Bu malware moduler. HDD firmware'ini >> etkileyen parcanin cok az kullanildigini goruyoruz. Muhtemelen sadece cok >> degerli hedefler icin kullaniliyor (sayfa 18).'. Dolayısı ile her ele >> geçirilen makinada uygulanan bir teknik değil, rapordan anladığım >> başarımını da henüz yeterince iyi incelememişler; iyi çalışıyor mu o da >> belli değil. >> >> Ben bu saldırının sanal dosya sistemini registry üzerinde saklama kısmını >> daha ilginç buldum. HDD firmware'inin programlanıp değiştirilebildiği zaten >> biliniyordu ama (bildiğim kadarıyla) daha önce kimse registry'i filesystem >> gibi kullanarak bilgi sızdırmaya çalışmamıştı. >> >> (1) >> https://securelist.com/files/2015/02/Equation_group_questions_and_answers.pdf >> >> 19 Şubat 2015 11:39 tarihinde Celil ÜNÜVER <[email protected]> yazdı: >> >>> Toparlamak gerekirse, zararli yazilim bulastigi sistemde HDD firmware'i >>> enfekte ediyor ve kendini orada gizliyor diyebiliriz. Bu enfekte etme >>> islemini her HDD ureticisinin kendine ozel sundugu "Vendor Specific >>> Commands" komut setleri ile gerceklestiriyor. Dogrudan satin aldiginiz HDD >>> ile gelen bir zararli yazilim soz konusu degil, en azindan su an icin :) >>> >>> - Celil Ünüver >>> >>> 19 Şubat 2015 Perşembe tarihinde, Celil ÜNÜVER <[email protected]> >>> yazdı: >>> >>> Merhaba, >>>> >>>> Basinda gecen haberler yanlis anlasilmaya sebep oldu. NSA ' in dogrudan >>>> uretim veya dagitim asamasinda bazi HDD markalarina casus yazilim >>>> yerlestirdigi gibi bir algi olustu ancak durum boyle degil. >>>> >>>> EquationAPT operasyonunda kullanilan zararli yazilimin kendini HDD >>>> firmware'inde gizleyebilme ozelligi mevcut. Raporlarda bunu HDD firmware'i >>>> tekrar programlayarak yaptigi soyleniyor. Dolayisiyla zararli yazilim dosya >>>> sistemi yerine HDD'nin firmware'inde yasadigi icin format vs. ile silinmesi >>>> mumkun olmuyor. >>>> >>>> HDD 'lerin bizim dosya sistemi icin kullandigimiz standart ATA >>>> komutlari disinda, "vendor specific commands" olarak bilinen ve bu >>>> komutlarla ulasilabilecek bazi ozel alanlari mevcut. Vendor specific >>>> commands, adindan da anlasilacagi uzere ureticiden ureticiye degisen ve >>>> dogrudan firmware'e ulasmayi, firmware update vb. >>>> islemler yapmaya yarayabilen komut setlerinden olusuyor. NSA 'in VSC >>>> kullanarak firmware uzerinde zararli yazilimi gizledigini dusunuyorum. >>>> Basinda bazi HDD markalarinda backdoor .... haberi de burdan cikiyor. >>>> Ureticiden ureticiye degisen komut setleri dolayisiyla zararli >>>> yazilim icinde her hdd markasina ozel VSC :) >>>> >>>> Su makale VSC ile data saklama uzerine guzel bir ornek: >>>> http://www.recover.co.il/SA-cover/SA-cover.pdf >>>> >>>> Saygilar, >>>> >>>> Celil Ünüver >>>> >>>> >>>> 19 Şubat 2015 Perşembe tarihinde, Ümit ÖZDEMİR < >>>> [email protected]> yazdı: >>>> >>>>> Merhaba, >>>>> >>>>> Kaspersky, NSA tarafından bazı HDD içerisine yerleştirilen casus >>>>> yazılımlar ile siber espiyonaj yapıldığını iddia etti. >>>>> >>>>> Bu konuda detaylı teknik bilgiye ulaşabilen var mı? >>>>> >>>>> İyi Çalışmalar >>>>> >>>>> -- >>>>> Ümit ÖZDEMİR >>>>> >>>> >> >> >> -- >> >> -- Aytek Yüksel
