Odkryto Bootkitty: pierwszy bootkit UEFI zaprojektowany dla systemu Linux

  • Bootkitty staje się pierwszym bootkitem UEFI zaprojektowanym dla systemów Linux.
  • Odkryty przez badaczy firmy ESET, atakuje niektóre wersje Ubuntu i ma podejście eksperymentalne.
  • Szkodnik wyłącza weryfikację podpisu jądra i wykorzystuje zaawansowane metody ominięcia mechanizmów bezpieczeństwa.
  • ESET podkreśla znaczenie wzmocnienia cyberbezpieczeństwa w systemie Linux w obliczu możliwych przyszłych zmian.

Kotek

Un Niedawne odkrycie wstrząsnęło sceną cyberbezpieczeństwa: Badacze zidentyfikowali pierwszy bootkit UEFI zaprojektowany specjalnie dla systemów Linux, tzw Kotek przez jego twórców. Odkrycie to oznacza znaczącą ewolucję zagrożeń UEFI, które w przeszłości skupiały się prawie wyłącznie na systemach Windows. Chociaż wygląda na to, że złośliwe oprogramowanie znajduje się w fazie weryfikacji koncepcji, jego istnienie otwiera drzwi dla ewentualnych bardziej wyrafinowanych zagrożeń w przyszłości.

W ostatnich latach Zagrożenia UEFI odnotowały znaczny postęp. Od pierwszych weryfikacji koncepcji w 2012 r. po nowsze przypadki, takie jak ESPecter i BlackLotus, społeczność zajmująca się bezpieczeństwem odnotowała wzrost złożoności tych ataków. Jednak Bootkitty stanowi ważną zmianę, przenosząc uwagę na systemy Linux, w szczególności na niektóre wersje Ubuntu.

Właściwości techniczne Bootkitty

Kotek wyróżnia się zaawansowanymi możliwościami technicznymi. To złośliwe oprogramowanie wykorzystuje metody omijania mechanizmów bezpieczeństwa UEFI Secure Boot poprzez łatanie krytycznych funkcji weryfikacji w pamięci. W ten sposób udaje mu się załadować jądro Linuksa niezależnie od tego, czy funkcja Secure Boot jest włączona, czy nie.

Głównym celem Bootkitty jest m.in wyłącz weryfikację podpisu jądra i wstępnie załaduj nieznane złośliwe pliki binarne ELF Poprzez proces startowych Linuksa. Jednak ze względu na użycie niezoptymalizowanych wzorców kodu i stałych przesunięć, jego skuteczność ogranicza się do niewielkiej liczby konfiguracji i wersji jądra oraz GRUB.

Cechą złośliwego oprogramowania jest jego eksperymentalny charakter: zawiera uszkodzone funkcje, które wydają się być przeznaczone do wewnętrznych testów lub wersji demonstracyjnych. To wraz z jego niemożność działania w systemach z włączoną funkcją Secure Boot po wyjęciu z pudełka, sugeruje, że jest ona wciąż na wczesnym etapie rozwoju.

Podejście modułowe i możliwe powiązania z innymi komponentami

Podczas analizy naukowcy z ESET Zidentyfikowali także niepodpisany moduł jądra o nazwie BCDropper, potencjalnie opracowany przez tych samych autorów Bootkitty. Moduł ten zawiera zaawansowane funkcje takie jak możliwość ukrywania otwartych plików, procesów i portów, Typowe cechy rootkita.

BCDropper Wdraża również plik binarny ELF o nazwie BCObserver, który ładuje inny, jeszcze niezidentyfikowany moduł jądra. Chociaż bezpośredni związek między tymi komponentami a Bootkitty nie został potwierdzony, ich nazwy i zachowania sugerują związek.

Wpływ Bootkitty i środki zapobiegawcze

Mimo że Bootkitty nie stanowi jeszcze realnego zagrożenia W przypadku większości systemów Linux jego istnienie podkreśla potrzebę przygotowania się na możliwe przyszłe zagrożenia. Wskaźniki zaangażowania związane z Bootkitty obejmują:

  • Ciągi zmodyfikowane w jądrze: widoczne za pomocą polecenia uname -v.
  • Obecność zmiennej LD_PRELOAD w archiwum /proc/1/environ.
  • Możliwość ładowania niepodpisanych modułów jądra: nawet w systemach z włączoną funkcją Secure Boot.
  • Jądro oznaczone jako „skażone”, co wskazuje na możliwą manipulację.

Aby ograniczyć ryzyko stwarzane przez tego typu złośliwe oprogramowanie, eksperci zalecają pozostawienie włączonej funkcji UEFI Secure Boot, a także upewnienie się, że oprogramowanie sprzętowe, system operacyjny i lista odwołań UEFI są zaktualizowany.

Zmiana paradygmatu zagrożeń UEFI

Bootkitty nie tylko podważa pogląd, że bootkity UEFI są przeznaczone wyłącznie dla systemu Windows, ale także podkreśla rosnąca uwaga cyberprzestępców skierowana na systemy oparte na systemie Linux. Choć jest jeszcze w fazie rozwoju, jego pojawienie się jest sygnałem alarmowym do poprawy bezpieczeństwa w tego typu środowisku.

Odkrycie to wzmacnia potrzebę proaktywnego nadzoru i wdrażania zaawansowane środki bezpieczeństwa w celu ograniczenia potencjalnych zagrożeń, które mogą wykorzystywać luki w zabezpieczeniach na poziomie oprogramowania sprzętowego i procesu rozruchu.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.