🔐 BitLocker orqali yashirin kirish: Windows himoya tizimi qanday qilib tajovuzkorlar qo‘liga o‘tyapti?

Kiberxavfsizlik olamida yangi tahdid paydo bo‘ldi — BitLocker vositasi, aslida himoya uchun yaratilgan bo‘lsada, endi tajovuzkorlar tomonidan zararli kod ishlatish uchun qo‘llanilmoqda.

Mazkur tahdid BitLockMove deb nomlangan hujum usuli orqali amalga oshiriladi. U orqali kiberjinoyatchilar Windows’ning muhim komponentlaridan biri bo‘lgan BitLocker COM tizimini buzib, tizimga yashirin kirish huquqini qo‘lga kiritadi.

Bu qanday ishlaydi?

BitLocker — bu Windows qurilmalaridagi ma’lumotlarni to‘liq shifrlash orqali himoya qilishga mo‘ljallangan vosita. Ammo yangi kashf etilgan usulda, ushbu tizimdagi ro‘yxatdan o‘tmagan (unauthenticated) foydalanuvchi ham zararli faylni ishga tushirishi mumkin.

BitLockMove nomli vosita yordamida tajovuzkor quyidagicha harakat qiladi:

  1. Tizimdagi kerakli sessiyalarni aniqlaydi.
  2. BitLocker registr yozuvlariga masofadan turib zararli CLSID (Class ID) yozadi.
  3. Zararli DLL faylni tizimga joylaydi, bu esa BitLocker ishga tushganda avtomatik ishlaydi.
  4. Zararli kod ishga tushadi va foydalanuvchi huquqlari bilan tizimni boshqarishga o‘tadi.
  5. So‘nggi bosqichda esa hujum izlari o‘chirib yuboriladi, shunda tizim egasi hech narsani sezmaydi.

🔍 Nima uchun bu xavfli?

  • Foydalanuvchi aralashuvisiz bajariladi.
  • Zararli fayllar tizimdagi ishonchli jarayonlar orqali ishga tushadi.
  • Hujumdan keyin deyarli hech qanday iz qolmaydi.
  • Agar foydalanuvchi tizimda yuqori huquqlarga ega bo‘lsa (masalan, domain administrator), tajovuzkor butun tarmoqni egallab olishi mumkin.

🛡️ Himoyalanish yo‘llari

Yaxshiyamki, bunday hujumlar qarshi aniqlash imkoniyatlari mavjud. Masalan:

  • Remote Registry xizmatining faollashishi — bu Windows Event ID 7040 orqali aniqlanadi.
  • CLSID yozuvlaridagi g‘ayrioddiy o‘zgarishlar kuzatilishi mumkin.
  • Tizimdagi shubhali BitLocker jarayonlari aniqlansa, bu ham ogohlantiruvchi signal bo‘lishi kerak.

Tashkilotlar o‘z tizimlarida quyidagilarga e’tibor qaratishlari kerak:

Remote Registry xizmatining faollashganini nazorat qilish
BaaUpdate.exe va BdeUISrv.exe jarayonlarining faoliyatini tekshirish
✅ Windows registrlarida CLSID bo‘limidagi o‘zgarishlarni kuzatish
✅ Antiviruslar va EDR tizimlarini muqobil API chaqiriqlari bo‘yicha sozlash

BitLocker — bu xavfsizlik qalqoni sifatida ishlab chiqilgan vosita. Ammo noto‘g‘ri konfiguratsiya va zaifliklar tufayli u kiberjinoyatchilar uchun qulay eshik bo‘lib qolmoqda.

Kiberhujumlar tobora murakkablashib bormoqda, va ularning ko‘pchiligi endi operatsion tizimning ishonchli qismlarini nishonga olmoqda. Shuning uchun tashkilotlar nafaqat tashqi himoya, balki ichki tizimlar xavfsizligiga ham e’tibor berishlari shart.