Tokyo merkezli FFRI Security araştırmacılarından Kazuki Matsuo ve ekibi, geleneksel güvenlik önlemlerini tamamen atlatabilen devrim niteliğinde bir kötücül yazılım (malware) tekniği geliştirdi. “Shade BIOS” adı verilen bu yöntem, kötücül faaliyetleri bilgisayarın İşletim Sistemi’nden (OS) tamamen bağımsız olarak, BIOS/UEFI seviyesinde çalıştırmayı mümkün kılıyor. Bu da antivirüs, EDR/XDR çözümleri ve OS güvenlik araçlarının tespit veya müdahele edemeyeceği bir tehdit katmanı yaratıyor.
Geleneksel UEFI kötücül yazılımları, bilgisayar açılırken İşletim Sistemi’nden önce yüklenerek yüksek kalıcılık (persistence) sağlıyor. OS yeniden yüklenmesi veya sistemi yeniden başlatma gibi önlemlere direnebiliyor. Ancak, bu kötücül yazılımların kritik bir zayıflığı bulunuyor.
Kötü niyetli eylemleri gerçekleştirmek (veri çalmak, ek yük bırakmak, cihazlarla etkileşim kurmak) için nihayetinde İşletim Sistemi’ne ihtiyaç duyuyorlar. Bu bağımlılık, onları OS seviyesindeki güvenlik korumalarına (Windows ETW – Olay İzleme gibi) maruz bırakıyor. Saldırganın, hedef makinedeki tüm güvenlik programlarını başlangıçta devre dışı bırakması, hangi çekirdek (kernel) sürücülerini kullandıklarını ve nasıl manipüle edeceklerini bilmesini gerektiriyor. Bu pratikte çok zor ve genellikle eksik kalıyor.
Shade BIOS yaklaşımı, bu kısıtlamayı kökten ortadan kaldırıyor. Matsuo ekibinin geliştirdiği teknik, normalde OS yüklendikten sonra kaldırılan BIOS/UEFI ortamının ve işlevlerinin, çalışma zamanında (runtime) bellekte kalmasını ve aktif olmasını sağlıyor. Matsuo, “OS yükleyiciyi, hafıza haritasını (memory map) değiştirerek kandırıyorum” diye açıklıyor. “BIOS, kontrolü OS’ye devrederken hafıza haritasını yükleyiciye iletir. Biz bu haritayı, BIOS işlevlerinin bulunduğu hafıza bölgesinin çalışma zamanında *hala* kullanılması gerektiğini gösterecek şekilde değiştiriyoruz.”
Bu teknik, saldırgana kötücül kodu tamamen BIOS ortamı içinde çalıştırma imkanı tanıyor. Saldırgan, makinenin gerçek İşletim Sistemi’ne paralel ancak ondan tamamen gizli, ikinci bir “minyatür OS” gibi davranan bir ortam elde ediyor. Bu ortam kendi bellek yönetimine ve aygıt sürücülerine sahip. Shade BIOS için yazılan malware, Windows API’leri yerine BIOS’un disk G/Ç (I/O) protokolleri gibi kendi işlevlerini kullanıyor.
Matsuo, Shade BIOS’un uygulanmasının mevcut karmaşık UEFI bootkit’lerinden daha zor olmadığını savunuyor: “Mevcut UEFI bootkit’leri çok sayıda kanca (hook) ve desen eşleştirme kullanır. Shade BIOS ise bu tür özelliklere ihtiyaç duymaz. İkili manipülasyon (binary manipulation) gerektirmez.” Saldırganlar, BIOS ortamında çalışmak üzere C gibi dillerde kod yazabiliyor.
Tekniğin önemli bir avantajı da UEFI’nin endüstri standardı olması. Shade BIOS kötücül yazılımı, PC, sunucu veya anakart fark etmeksizin, her tür donanımda aynı şekilde çalışma potansiyeline sahip. Bu, tehdidin yaygınlığını artırıyor.
Bu kadar güçlü bir teknik karşısında tespit ve önleme son derece zor. Shade BIOS kötücül yazılımını yakalamanın tek pratik yolu, önleyici ve proaktif bir şekilde makinenin belleğinin dökümünü (memory dump) almak ve herhangi bir şüpheli gösterge olmaksızın bu dökümü dikkatle incelemek. Çünkü çalışan güvenlik yazılımları BIOS seviyesindeki bu faaliyeti göremiyor.
Matsuo, bu zorluğa karşı bir çözüm sunuyor. Yaklaşan Black Hat 2025 güvenlik konferansında, açık kaynaklı bir araç olan “Kraftdinner” ile belleğin nasıl etkili bir şekilde dökülebileceğini ve incelenebileceğini gösterecek.
Ancak Matsuo, paniğe gerek olmadığının altını çiziyor. UEFI tehditlerinin genellikle ulusal güvenlik bağlamı dışında yaygın olmadığını belirtiyor. Asıl pratik kullanım alanının devlet kurumlarının bilgisayar alım süreçlerinde olduğunu düşünüyor: “Devlet kurumları PC tedarik ederken genellikle içeride herhangi bir arka kapı olup olmadığını inceler. İşte o zaman, bu tür bir kötücül yazılımın kontrol edilmesi faydalı olacaktır.” Shade BIOS, yüksek hedefli saldırılar için geliştirilmiş sofistike bir teknik olarak öne çıkıyor.
