Bilgisayarınızı Thunderspy saldırısına karşı koruma ipuçları
Thunderbolt , Intel tarafından geliştirilen donanım markası arabirimidir . Bilgisayar ve harici cihazlar arasında bir arayüz görevi görür. Windows bilgisayarların çoğu her türden bağlantı noktasıyla birlikte gelirken, birçok şirket çeşitli aygıt türlerine bağlanmak için Thunderbolt'u kullanır. (Thunderbolt)Bağlantıyı kolaylaştırır, ancak Eindhoven (Eindhoven University)Teknoloji(Technology) Üniversitesi'ndeki araştırmaya göre, Thunderbolt'un(Thunderbolt) arkasındaki güvenlik, bir teknik kullanılarak ihlal edilebilir - Thunderspy . Bu gönderide, bilgisayarınızı Thunderspy'a(Thunderspy) karşı korumak için izleyebileceğiniz ipuçlarını paylaşacağız .
Tunderspy nedir ? O nasıl çalışır?
Bu, bir saldırganın aygıtları tehlikeye atmak için doğrudan bellek erişimi ( DMA ) işlevine erişmesine izin veren gizli bir saldırıdır. (DMA)En büyük sorun, herhangi bir kötü amaçlı yazılım veya bağlantı yemi dağıtmadan çalıştığı için hiçbir iz kalmamasıdır. En iyi güvenlik uygulamalarını atlayabilir ve bilgisayarı kilitleyebilir. Peki nasıl çalışır? Saldırganın bilgisayara doğrudan erişmesi gerekiyor. Araştırmaya göre doğru araçlarla 5 dakikadan az sürüyor.
Saldırgan, kaynak cihazın Thunderbolt Controller Firmware'ini(Thunderbolt Controller Firmware) kendi cihazına kopyalar . Ardından , Thunderbolt belleniminde uygulanan güvenlik modunu devre dışı bırakmak için bir bellenim yaması ( TCFP ) kullanır . Değiştirilen sürüm, Bus Pirate(Bus Pirate) aygıtı kullanılarak hedef bilgisayara geri kopyalanır . Ardından , saldırıya uğrayan cihaza Thunderbolt tabanlı bir saldırı cihazı bağlanır. Ardından , Windows oturum açma ekranını atlayan bir çekirdek modülünü yüklemek için PCILeech aracını kullanır.(PCILeech)
Bu nedenle, bilgisayar Güvenli Önyükleme(Secure Boot) , güçlü BIOS ve işletim sistemi hesabı parolaları gibi güvenlik özelliklerine sahip olsa ve etkinleştirilmiş tam disk şifrelemesi etkinleştirilmiş olsa bile, yine de her şeyi atlayacaktır.
İPUCU(TIP) : Spycheck, bilgisayarınızın Thunderspy saldırısına karşı savunmasız olup olmadığını kontrol eder .
Thunderspy'a karşı koruma ipuçları
Microsoft , modern tehdide karşı koruma sağlamak için üç yol önerir . (recommends)Windows'ta yerleşik olarak bulunan bu özelliklerden bazıları kullanılabilirken, bazıları saldırıları azaltmak için etkinleştirilmelidir.
- Güvenli çekirdekli bilgisayar korumaları
- Çekirdek DMA koruması
- Hipervizör korumalı kod bütünlüğü ( HVCI )
Bununla birlikte, tüm bunlar Güvenli çekirdekli bir PC'de mümkündür. Bunu normal bir PC'ye uygulayamazsınız çünkü onu saldırıdan koruyabilecek donanım mevcut değildir. Bilgisayarınızın destekleyip desteklemediğini öğrenmenin en iyi yolu , Windows Güvenlik(Windows Security) uygulamasının Aygıt Güvenliği(Devic Security) bölümünü kontrol etmektir.
1] Güvenli çekirdekli PC korumaları
Microsoft'un şirket içi güvenlik yazılımı olan Windows Security(Windows Security) , Windows Defender Sistem Koruması ve sanallaştırma tabanlı güvenlik sunar. Ancak, Secured-core PC'leri(Secured-core PCs) kullanan bir cihaza ihtiyacınız var . Sistemi güvenilir bir duruma başlatmak için modern CPU'da(CPU) köklü donanım güvenliğini kullanır . Ürün yazılımı düzeyinde kötü amaçlı yazılımlar tarafından yapılan girişimlerin azaltılmasına yardımcı olur.
2] Çekirdek DMA koruması
Windows 10 v1803'te tanıtılan Kernel DMA koruması, (Kernel DMA)Thunderbolt gibi PCI çalışırken takılabilir aygıtları kullanarak harici çevre birimlerinin Doğrudan Bellek Erişimi(Memory Access) ( DMA ) saldırılarını engellemesini sağlar . Bu, birisi kötü niyetli Thunderbolt(Thunderbolt) ürün yazılımını bir makineye kopyalamaya çalışırsa , Thunderbolt bağlantı noktası üzerinden engelleneceği anlamına gelir . Ancak, kullanıcı kullanıcı adı ve şifreye sahipse, bunu atlayabilecektir.
3] Hipervizör korumalı(Hypervisor-protected) kod bütünlüğü ( HVCI ) ile sertleştirme(Hardening) koruması
Windows 10'da(Windows 10) hiper yönetici korumalı kod bütünlüğü veya HVCI etkinleştirilmelidir . Kod bütünlüğü alt sistemini yalıtır ve orada Çekirdek kodunun (Kernel)Microsoft tarafından doğrulanmadığını ve imzalanmadığını doğrular . Ayrıca, doğrulanmamış kodun yürütülmediğinden emin olmak için çekirdek kodunun hem yazılabilir hem de yürütülebilir olmamasını sağlar.
Thunderspy , Windows oturum açma ekranını atlayan bir çekirdek modülünü yüklemek için PCILeech aracını kullanır . HVCI kullanmak , kodu yürütmesine izin vermeyeceğinden bunu önlemeyi sağlayacaktır.
Bilgisayar satın alırken güvenlik her zaman en üstte olmalıdır. Özellikle iş ile ilgili önemli verilerle ilgileniyorsanız, Güvenli çekirdekli PC(Secured-core PC) cihazları satın almanız önerilir . İşte Microsoft web sitesinde bu tür cihazların(such devices) resmi sayfası .
Related posts
Phishing Scams and Attacks Nasıl Kaçınılır?
Uzak Access Trojan nedir? Önleme, Detection & Removal
Remove virus USB Flash Drive'dan Command Prompt or Batch File'u kullanma
Rogue Security Software or Scareware: Nasıl önlemek, kaldır kontrol etmek?
Win32 nedir: BogEnt ve nasıl kaldırılır?
En İyi Ücretsiz Casus Yazılım ve Kötü Amaçlı Yazılım Temizleme Yazılımı
Cryptojecking Yeni browser mining threat'ü bilmeniz gereken
Browser Hijacking and Free Browser Hijacker Removal Tools
Virüslerden, Casus Yazılımlardan ve Kötü Amaçlı Yazılımlardan Kurtulmanın 3 Yolu
Bir dosyayı taramak için en iyi çevrimiçi Online Malware Scanners
Windows 10 kötü amaçlı yazılımlar için Registry nasıl kontrol edilir
Virus Alert Microsoft'ten Windows PC'den nasıl kaldırılır?
Malwarebytes Anti-Malware Nasıl Kullanılır Malware kaldırmak için
İpuçları güvenli Windows 11/10 - Nasıl Malware önlemek için
DLL Hijacking Vulnerability Attacks, Prevention & Detection
Task Manager içinde Microsoft Windows Logo process; Bir virüs mi?
Belirtilen modül Windows 10'da hata bulunamadı
Windows'den güvenli bir şekilde kaldırmak için IDP.Generic and How nedir?
Chrome browser's Inbuilt Malware Scanner & Cleanup Tool nasıl kullanılır?
Potansiyel İstenmeyen Programs or Applications; Avoid yüklemeden PUP/PUA