Merhaba, BIOS sabit değiştirilmeyen CMOS sıfırlamanın çalışmadığı bir profil kurulu. Windows kurulumuna müdahale edip kendi zararlı uygulamalarını kuruyor, orijinal Secure Boot keylerini kendi programları çalışacak şekilde değiştirmiş. Hangi sistemi kurarsam kuramayım, ofis bilgisayarı olarak algılanıp uzaktan erişime açılıyor. WiFi ağımdaki kameramı bile hacklediler (uzaktan erişim sağladılar). ASUS B450M-K ve Samsung SSD harddisk’te 16 GB donmuş bir bölge var, bir türlü silemiyorum.
cmos’u nasıl sıfırladınız, sıfırlamaya çalışırken gücü kestikten sonra ne kadar süre beklediniz ve hard diski gparted live usb kullanarak sıfırlamayı veya
Linux kurup secure boot’unuzdaki sürücüleri kendiniz imzalamayı denediniz mi?
Buna ek olarak,
Virüs firmware’e yerleşmiş ise ve bios’u da sıfırlayamıyorsanız muhtemelen bilgisayarı çöpe atmalısınız.
Hocam, Windows’dayken donanımsal bir backdoor veya bootkit olduğu belli. Temizlemek uzaktan zor ama birkaç sorum olacak:
BIOS şifreli mi?
Secure Boot ayarları yapılıyor mu veya değiştirmeye çalıştığınızda bir sorun oluyor mu?
BIOS güncellemesi denediniz mi? (Rootkit çok kapsamlı değilse BIOS güncellemesiyle kaybolabilir, ama dediklerinizi almışlar, hmm…)
İşlemci markası hangisi?
Diskin durmuş olduğunu hangi uygulama ile kontrol ettiniz?
Yeni bir kurulum yaptınız diyelim, Win 11 otomatik olarak Windows kurulumunda olmayan uygulama veya .bat dosyaları var mı?
Ağ trafiğini inceleme şansınız var mı? Wireshark veya tcpdump ile belki rootkit’in ne yaptığını görebiliriz. Botnet olmuş olabilir, diğer cihazlara ARP poisoning yapılmış olabilir.
Modem/router’a erişiminiz varsa, admin şifresi değişmiş mi, yeni bir kullanıcı açılmış mı?
Bu sorun ne zaman başladı? Bir USB taktıktan sonra mı, bir uygulama açtıktan sonra mı, bir zip dosyası açtıktan sonra mı, vb.?
Sisteme sizden başka birisinin fiziksel erişimi var mı?
Hmm, bu biraz zor olacak. Yapacağımız şeyler şunlar:
İnterneti kesmemiz gerek, adamlar erişime sahipler ve pek kaçış yöntemimiz yok maalesef.
BIOS sıfırlamanız gerek. Bildiğim kadarıyla sıfırlama işlemi sırasında bütün güçleri kesip CMOS bataryasını çıkarıp 5-10 dakika beklemek ve takmaktır, ama modele göre değişir.
Hard diski tamamen silmeniz gerek. Bu işlem birkaç saat sürebilir; bütün 0’lar 1 olana dek sürer ve o 1’ler 0 olduğunda biter.
Diski sildikten sonra istediğiniz işletim sistemini kurabilirsiniz.
İnterneti açmadan önce İbrahimSQL’in dediği 7. ve 8. adımları yapabilirsiniz. Bu adımların yanına bir de firewall koyarsanız muhtemelen bir daha bulaşamazlar, ama adamlar sizi hedeflediğinden belki bir sıfır gün açığı ile tekrar gelebilirler, bilginiz olsun.
1- BIOS şifreli değil ama kilitlenmiş sabit bir BIOS profili var. CMOS pilini çıkartarak ve CMOS pinlerini kısa devre yaparak sıfırlamak bu profili silmiyor.
2- Secure Boot sadece key’lerin değişimine izin veriyor; enable/disable gri, tıklanmıyor.
3- BIOS güncellemesi yaptıktan sonra da sorun devam ediyor.
4- Anakart: Asus B450M-K
5- sudo hdparm -I /dev/sda komutu ile terminale baktığımda security kısmında “frozen” yazıyor. Uyku moduna alıp uyandırdıktan sonra “not frozen” oluyor ve kayıp kısım geri geliyor.
6- Normalde yok ama süper kullanıcı gibi profiller oluşmuş. Recuva sayesinde bu profillerin oluşturduğu shadow copy klasörüne ulaştım ve mlink ile bağladım. İçinde Autopilot gibi uzaktan erişim programları kurulu. Şu an Zorin OS kurulu.
7- Şu an Zorin OS kurulu ama BIOS onu bile manipüle edip ofis bilgisayarı gibi algılatıyor. Güvenlik açığı var.
8- Modem arayüz şifresini değiştirdim, Wi-Fi’ları kapadım.
9- Microsoft hesabıma girerken “iş yeri hesabınıza mı kişisel hesabınıza mı girmek istersiniz?” diye bir seçenek çıktı. “Bu hesap IT departmanı tarafından oluşturulmuştur” diyordu. Benim evde kişisel kullandığım e-postama bağlı.
10- Eve gelen biri yaptı sanırım, ben farkında değilken CH341A USB Programmer gibi bir cihaz kullanılmış sanırım. iPhone gibi hacklenmesi imkansız denilen telefonum kendi kendine sıfırlandı, recovery key değiştirildi, şifresi değiştirildi. Tam ona şaşırırken, güncelleme almayan iPhone 6 Plus telefonumda güncelleme ekranı çıktı (sadece Wi-Fi’a bağlı, SIM kart yoktu ama iCloud şifresi istedi, girmedim, silinmedi). TP-Link C200 kameram kendi kendine görüş açısını değiştirdi. O zamanlar “güncelleme geldi herhalde” diyip sallamıştım ama bunlar olunca o zaman da kameraya bir müdahale olduğunu düşünüyorum.
Diğer arkadaşlara göre fazla amatör kalırım belki ama aklıma gelen bir şeyi söyleyeyim. Herhangi bir linux dağıtımında canlı modda açıp diski gparted ile tamamen silmeyi ya da yeni bölüm tablosu oluşturmayı denediniz mi?
Öncelikle Biosa parola koy. Bu bios üzerinde bir ajan varsa bile işlemlerini otomotikleştirmesini engeller. Daha sonra Rescue Disk yöntemiyle antivürüs taraması yap. Cihazı herhangi bir işletim sistemine geçmeden taramaya al. Eğer bilinen bir kötü amaçlı yazılımsa bu şekilde temizleyebilirsin. https://www.kaspersky.com/downloads/free-rescue-disk Kaspersky indirmek zorunda değilsin. Şimdi aradığımda free bir sürüm gibi göründüğü için ekledim buraya. Farklı alternatiflere bakabilirsin. Sana en uygun olanı seç.
Olaydan anladığım kadarıyla uzaktan hacklenmeden ziyade local olarak böyle bir saldırıya maruz kalmışsın. Yapacağın şeyler:
O cihazla indirilmiş hiç bir imajı kullanma.
Rescue Disk ile cihazı tara.
Gparted Live imajını harici bir belleğe yazdır ve diski bu harici ortamla derin sil.
Harici boot ile terminal üzrinden distkteki önceki verileri geri getirilemez şekilde sil.
Biosu önceki bir sürüme almaya çalış.
Bios Romunu değiştir.
Gparted ile normal disk sildikten sonra aynı imaj içerisinde terminali aç ve aşağıdaki komutları yürüt:
/dev/urandom yerine /dev/zero da kullanabilirsin. Bu diskin tüm alanlarını sıfırla doldurarak yazar ve daha hızlı ama daha az güvenli bir yol olarak kabul dilir. Bunun dışında daha güvenli bir yöntem olarak wipe yöntemini de kullanabilirsin. ama her halukarda sildiğin diskin bütün alanlarına yeniden yazım yaparak olası geri getirme işlemini çıkmaza sokman gerekir.
Her halukarda diski derin olarak temizlemen gerektiğini unutmamalısın.
CH341A USB Programmer veya benzeri bir araçla anakart bios sürümünü daha önceki bir sürüme almaya çalış. Sürüm yükseltme düzeltme sağlamıyorsa düşürerek denemelisin. Özellikle anakart üreticisin sitesinden temin edebileceğin ilk bios sürümü neyse bunu kurmaya çalış. Daha sonra düzelme gözlemlenirse aynı yöntemle bios güncellemesi yaparak son sürüme geçebilirsin.
Bios için eğer parola oluşturmak ve eski bios sürümüne geçmek iyileştirme sağlamazsa ve hiç bir şekilde oluşturulan bios profilinin dışına çıkamazsan artık teknik bir müdahele olarak rom değişikliği yapman gerekir. Mevcut anakartı kurtarmanın en iyi ve maliyetsiz yolu bu olabilir. Her hangi bir serviste Eprom ile ana kartın rom belleğini kaldırıp yenisini takarak sıfırlayabilirsin. Eğer bios rom içerisinde kötü amaçlı yazılım var ve temizlenmiyorsa bu yöntem yazılım devre dışı bırakır. Yeni rom takıldığında sadece anakartın üretici sitesinden indirdiğin bios sürümünü yükle.
Okudum, yorumlayıp çözüm düşüncem: Öncelikle BIOS manipüle edilmiş. Secure Boot key’lerinin değiştirilmesi ve ayarların kilitli olması, BIOS’ta rootkit olduğunu açık açık gösteriyor.
SSD kalıcı olarak değiştirilmiş/gizleniyor; SSD “frozen” durumunda. Bu da firmware seviyesinde olduğunu belli ediyor, o yüzden biraz karmaşık olacak iş. Bir analisten yardım isteyeceğim.
Shadow copy ve Super User oluşturulmuş. RCE sayesinde uzaktan bir otomatik erişim yazılımı yüklenmiş; bu da sistemde super user olduğu için istediğini yapıyor.
Ağdaki makineler ve cihazlara erişim olması açık bir şekilde MITM dönmüş; packet sniffing ile ortak bir şekilde.
Microsoft hesabına müdahale edilmiş; bunu da şuradan anlarız: “Bu hesap IT departmanı tarafından oluşturulmuştur.” Hesap bilgilerine erişildiğini ve kurumsal bir profilin zorla ilişkilendirildiğini gösteriyor.
Bir bad USB veya modifiye edilmiş CH341A ile yapıldı belli; fiziksel bir saldırı. Bu kadar yetkiye kısa sürede uzaktan erişmek imkansız çünkü…
Şu an ne yapabilirim diye bir blue team analistiyle konuştum; cihaza manuel tespit gerek diyor.
BIOS ve Firmware Müdahalesi
EEPROM veya CH341A gibi bir yazıcı ile BIOS’u fiziksel olarak programla.
Anakartta BIOS Flashback özelliği var mı kontrol et. USB’ye BIOS dosyası atıp fiziksel düğmeye basarak BIOS’u sıfırlayabilme özelliği var. Asus’un çoğu kartında bu özellik var, onlara dikkat et.
BIOS şifresi koy ve tekrar dene. Birkaç kere deneme yap. Olursa Secure Boot’u aç ve hemen pili sök, sonra BIOS’u tekrar kur.
Makineye işletim sistemi kurabilirsen Kali Linux Purple kur. Orada default gelen birkaç alet var savunma için; onları kullan ve çıktılarını ver (Kali Purple ağırlıklı olarak savunma için olduğu için örnek aletler: rkhunter, chkrootkit, Lynis, wireshark ve tcpdump, Snort).
Eğer dediğim gibi Linux kurabilirseniz şunları yapın:
ATA Secure Erase veya NVMe Secure Erase yapmalısın
sudo hdparm --security-erase NULL /dev/sda
frozen durumu devam ederse hala şunu yap:
sudo hdparm --user-master u --security-set-pass p /dev/sda
sudo hdparm --security-erase p /dev/sda
Gelelim en zor yere: Ağ ve Cihazlar
Modemi fabrika ayarlarına döndür ve en güncel firmware’i yükle.
Evin içindeki ağ trafiğini analiz et: Wireshark veya tcpdump ile anormal bağlantıları izle.
TP-Link C200 kameranın DNS ve ağ kayıtlarını kontrol et. Normalde internete gereksiz yere bağlanmaması gerekir.
Telefonları yeniden kurarken, eski iCloud veya Google hesaplarını kullanma. Eğer hesabına erişim sağlanmışsa, format atsan bile tekrar erişebilirler.
Microsoft İçin Şunları Yapman Gerek:
Hemen hesap şifreni değiştir.
Microsoft hesabından “Bağlı cihazlar” bölümüne gir ve şüpheli cihazları kaldır.
IT yönetimi altında görünen cihazı kaldırmaya çalış: Ayarlar > Hesaplar > İş veya Okul Erişimi" kısmında bir kurumsal hesap bağlı olup olmadığına bak.
gpedit.msc (Windows Grup İlkesi Düzenleyicisi) üzerinden “Bilgisayar Yapılandırması > Yönetim Şablonları > Sistem > Cihaz Kaydı” altındaki ayarları kontrol et.
Alternatif yol: Bunların hiçbiri işe yaramadı (bootkit öyle kapsamlı olsun) ve bulunduğunuz yerde bir analist yok (doğru düzgün yok, evet ben de biliyorum), bilgisayarcı veya yetkili servis bir şey yapamaz/yapamaz çünkü mümkünse şunları yap:
Başka bir SSD ile sıfırdan kurulum yap.
Farklı bir modem kullanarak ağı temizle.
Kritik cihazlarda (telefon, PC) tamamen temiz yazılımlar kullan.
SSD’den bahsediyorsak, USB’ye PMagic ISO’sunu kur ve bilgisayarı çalıştır. Secure Erase ile SSD’yi tamamen ve kalıcı olarak silmene olanak tanır. Ayrıca BIOS’tan çalıştığını düşünüyorsan ve bilgisayar öncekine göre daha yavaş çalışıyorsa, BIOS’u da sıfırlaman gerekir.
USB’ye PMagic ISO’su kurmak ve Secure Erase kullanmak
Secure Erase, SSD’nizi tamamen sıfırlayarak içindeki tüm verileri kalıcı olarak siler. Bu yöntem, SSD’nin fabrika ayarlarına dönmesini sağlar ve verileri kurtarmayı imkansız hale getirir. Eğer SSD’nize kötü amaçlı bir yazılım yüklenmişse, bu adım bu yazılımı da temizleyecektir.
BIOS’u sıfırlamak
BIOS sıfırlama işlemi genellikle CMOS pilini çıkararak veya jumperlar kullanılarak yapılır. Alternatif olarak, BIOS menüsünden de fabrika ayarlarına sıfırlama yapılabilir.
PMagic ISO’sunu bulmak zor olabilir, bulamazsanız yardımcı olabilirim.
SSD’yi kurtardım ama BIOS’a yazılmış “loop0” diye squashfs formatındaki sistem, Windows kurmaya kalkınca 16 GB’ı direk donduruyor. Bu kısmı kendi klasörlerini saklamak için kullanıyor, shadow copy C oluşturuyor. Windows Home Edition kurdum ama tüm uzaktan erişim servis programları kurulu halde geldi. Regedit dosyasının kopyasını aldım, ChatGPT ile inceleyince bayağı açık buldu; uzaktan TPM yönetme programından tutun, iki tane BIOS düzeyinde keylogger bile var. Bilgisayarda kullandığım tüm maillerim, benim hiçbir iznim olmadan Workspace mail hesabına çevriliyor; iPhone’da bile ev yönetimi üzerinden kontrolü alıyorlar. Yerel ağda 45 tane aygıt var ve göremiyorum bu cihazları. 5 gün önce uzaktan iCloud hesabımı çaldılar, şifresi ve recovery key değişti, tamamen erişimimi kaybettim. İsteyenlere regedit dosyasını paylaşabilirim. AppID kısmında o kadar korkunç servisler var ki, ne işe yaradıklarını okudukça kalbim sıkıştı.
Şu an hangi işletim sisteminde olduğunuzu öğrenebilir miyim? Windows ise (Win 10/11/7 gibi), Linux veya Unix benzeri bir şey ise dağıtımın adı ve sürümünü yazınız. Ona göre birkaç şey daha düşüneceğim.
Zorin OS kullanıyorum. Buraya üye olduğum Gmail hesabım Workspace hesabına dönüştü, sanırım hesabın şifresini bile değiştirme yetkim yok. Şu anki sorunum, CMOS sıfırlamasıyla gitmeyen, BIOS’a yüklenen loop sistemini kaldırmak. Her şeyden önce çalışıp tüm sürece müdahale ediyor. O sabit BIOS profilini kaldırabilirsem sanırım her şey düzelecek.
sanırım çözdüm microsoft intune , autopilot ile DFCI özelliği ile uzaktan bios kontrolu özelliği var ayrıca ios telefonları bile ele geçirebiliyor Apple Push Notification Service (APNs) sertifikası ile, bios a wmi eklemiş kuruluma müdahale eden sadece 512byte lık bir veri bunu biosdan silmek kaldı geriye
Kulağa absürt gelebilir ama direk polise gitmen gerekiyor gibime geliyor (Daha doğrusu siber suçlarla mücadele birimine, belki eğer mümkünse BTK’nın USOM’una enfekte olmuş BIOS’u yollamayı deneyebilirsin.), açıkcası geçmiş olsun, ben olsam o Anakarta bir daha güvenmezdim
DFCI sadece kurumsal cihazlarda desteklenir. Microsofta ait bir teknolojidir ama Apple ve diğer firmalarda da benzer yöntemler vardır. Kurumsal cihaz satışlarına başvurulan bir seçenektir.
Senin durumunda sonradan eklendiği için en mantıklı seçenek anakart bios romunu değiştirmek gibi görünüyor.
Bir şey yapmazlar, yapamazlar. Doğru düzgün blue team’den çok az kişi var, direkt siber güvenlik bölümünden az kişi var ama neyse…
Dedim, araçları denediniz mi? Bir de anakart üreticiniz Intune DFCI desteği sunuyorsa, BIOS’un üretici ayarlarına sıfırlanması gerekebilir çünkü siz şu an şirket olarak görünüp yapıyorsunuz. Kurulum sırasında müdahale eden bu 512 byte’lık veri, disk üzerinde gizli olabilir, imzalandığı için. Genellikle laptoplarda olur (HP, Lenovo, Acer vb. üreticiler), gparted gibi araçlar kullanılabilir. BIOS ayarlarını sıfırlamak için özel araçlar sunabiliyorlar. Bunlar kontrol edilebilir. @keci hocama katılıyorum ama öncelikle dediğim araçlarla bir tarama yapmanızı şiddetle öneririm. Sistemi incelemek için çıktıları kaydedip buraya atabilirsiniz.
bunu biosdan silmek kaldı geriye