Odkrit Bootkitty: prvi UEFI Bootkit, zasnovan za Linux

  • Bootkitty postane prvi zagonski komplet UEFI, zasnovan za sisteme Linux.
  • Odkrili so ga ESET-ovi raziskovalci, cilja pa na nekatere različice Ubuntuja in ima eksperimentalni pristop.
  • Zlonamerna programska oprema onemogoči preverjanje podpisa jedra in uporablja napredne metode za izogibanje varnostnim mehanizmom.
  • ESET poudarja pomen krepitve kibernetske varnosti v Linuxu glede na možni prihodnji razvoj.

Bootkitty

Un Nedavno odkritje je pretreslo sceno kibernetske varnosti: Raziskovalci so identificirali prvi zagonski komplet UEFI, posebej zasnovan za sisteme Linux, imenovan Bootkitty s strani njegovih ustvarjalcev. Ta ugotovitev označuje pomemben razvoj groženj UEFI, ki so se v preteklosti osredotočale skoraj izključno na sisteme Windows. čeprav zdi se, da je zlonamerna programska oprema v fazi dokazovanja koncepta, njegov obstoj odpira vrata morebitnim bolj sofisticiranim grožnjam v prihodnosti.

V zadnjih letih je dr. Grožnje UEFI so opazno napredovale. Od prvih dokazov koncepta leta 2012 do novejših primerov, kot sta ESPecter in BlackLotus, je varnostna skupnost opazila rast kompleksnosti teh napadov. Vendar pa Bootkitty predstavlja pomembno spremembo, ki preusmerja pozornost na sisteme Linux, zlasti na nekatere različice Ubuntuja.

Bootkitty tehnične lastnosti

Bootkitty izstopa po svojih naprednih tehničnih zmogljivostih. Ta zlonamerna programska oprema uporablja metode za obhod varnostnih mehanizmov UEFI Secure Boot s popravkom kritičnih funkcij preverjanja v pomnilniku. Na ta način uspe naložiti jedro Linuxa ne glede na to, ali je varni zagon omogočen ali ne.

Glavni cilj Bootkittyja vključuje onemogočite preverjanje podpisa jedra in prednapetost neznane zlonamerne binarne datoteke ELF Skozi proces pr sistema Linux. Vendar pa je zaradi uporabe neoptimiziranih vzorcev kode in fiksnih odmikov njegova učinkovitost omejena na majhno število konfiguracij in različic jedra ter GRUB.

Posebnost zlonamerne programske opreme je njena eksperimentalna narava: vsebuje pokvarjene funkcije, za katere se zdi, da so namenjene internemu testiranju ali predstavitvam. To skupaj s svojim nezmožnost delovanja na sistemih z vnaprej omogočenim varnim zagonom, nakazuje, da je še vedno v zgodnjih fazah razvoja.

Modularni pristop in možne povezave z drugimi komponentami

Med analizo so raziskovalci iz ESET Identificirali so tudi nepodpisan modul jedra, imenovan BCDropper, ki so ga potencialno razvili isti avtorji Bootkittyja. Ta modul vključuje napredne funkcije, kot so možnost skrivanja odprtih datotek, procesov in vrat, Tipične značilnosti rootkita.

BCDropper Razmesti tudi dvojiško datoteko ELF, imenovano BCObserver, ki naloži drug še neidentificiran modul jedra. Čeprav neposredna povezava med temi komponentami in Bootkittyjem ni bila potrjena, njihova imena in vedenje kažejo na povezavo.

Bootkitty vpliv in preventivni ukrepi

Čeprav Bootkitty še ne predstavlja prave grožnje Za večino sistemov Linux njegov obstoj poudarja potrebo po pripravljenosti na morebitne prihodnje grožnje. Kazalniki angažiranosti, povezani z Bootkittyjem, vključujejo:

  • Nizi, spremenjeni v jedru: viden z ukazom uname -v.
  • Prisotnost spremenljivke LD_PRELOAD v arhivu /proc/1/environ.
  • Možnost nalaganja nepodpisanih modulov jedra: tudi v sistemih z omogočenim varnim zagonom.
  • Jedro je označeno kot "okuženo", kar kaže na možne posege.

Da bi zmanjšali tveganje, ki ga predstavlja ta vrsta zlonamerne programske opreme, strokovnjaki priporočajo, da ostane UEFI Secure Boot omogočen, prav tako pa zagotovite, da so vdelana programska oprema, operacijski sistem in seznam preklicanih UEFI posodobljeno.

Sprememba paradigme groženj UEFI

Bootkitty ne izpodbija samo dojemanja, da so zagonski kompleti UEFI ekskluzivni za Windows, ampak tudi poudarja vse večja pozornost kibernetskih kriminalcev do sistemov, ki temeljijo na Linuxu. Čeprav je še v razvojni fazi, je njegov videz opozorilo za izboljšanje varnosti v tovrstnem okolju.

Ta ugotovitev krepi potrebo po proaktivnem nadzoru in izvajanju napredne varnostne ukrepe za ublažitev potencialnih groženj, ki lahko izkoriščajo ranljivosti na ravni vdelane programske opreme in zagonskega procesa.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.