Otkriven Bootkitty: Prvi UEFI Bootkit dizajniran za Linux

  • Bootkitty postaje prvi UEFI bootkit dizajniran za Linux sisteme.
  • Otkrili su ga istraživači ESET-a, cilja na neke verzije Ubuntua i ima eksperimentalni pristup.
  • Zlonamjerni softver onemogućava verifikaciju potpisa kernela i koristi napredne metode da zaobiđe sigurnosne mehanizme.
  • ESET naglašava važnost jačanja kibernetičke sigurnosti u Linuxu u suočenju s mogućim budućim razvojem.

Bootkitty

Un Nedavno otkriće potreslo je scenu kibernetičke sigurnosti: Istraživači su identifikovali prvi UEFI bootkit posebno dizajniran za Linux sisteme, tzv Bootkitty od strane njegovih kreatora. Ovo otkriće označava značajnu evoluciju u UEFI pretnjama, koje su se istorijski fokusirale gotovo isključivo na Windows sisteme. Mada izgleda da je zlonamjerni softver u fazi dokaza koncepta, njegovo postojanje otvara vrata mogućim sofisticiranijim prijetnjama u budućnosti.

Poslednjih godina UEFI prijetnje su zabilježile značajan napredak. Od prvih dokaza koncepta u 2012. do novijih slučajeva kao što su ESPecter i BlackLotus, sigurnosna zajednica je vidjela porast složenosti ovih napada. Međutim, Bootkitty predstavlja važnu promjenu, preusmjeravajući pažnju na Linux sisteme, posebno neke verzije Ubuntua.

Bootkitty tehničke karakteristike

Bootkitty ističe se po svojim naprednim tehničkim mogućnostima. Ovaj zlonamjerni softver koristi metode da zaobiđe sigurnosne mehanizme UEFI Secure Boot tako što zakrpi kritične funkcije verifikacije u memoriji. Na ovaj način uspijeva učitati Linux kernel bez obzira da li je Secure Boot omogućen ili ne.

Glavni cilj Bootkittyja uključuje onemogućiti provjeru potpisa kernela i predopterećenje nepoznate zlonamjerne ELF binarne datoteke Kroz proces init Linuxa. Međutim, zbog upotrebe neoptimiziranih obrazaca koda i fiksnih pomaka, njegova učinkovitost je ograničena na mali broj konfiguracija i verzija kernela i GRUB.

Posebnost zlonamjernog softvera je njegova eksperimentalna priroda: sadrži pokvarene funkcije za koje se čini da su namijenjene internom testiranju ili demonstracijama. Ovo, zajedno sa svojim nesposobnost za rad na sistemima sa omogućenim Secure Boot iz kutije, sugerira da je još uvijek u ranoj fazi razvoja.

Modularni pristup i moguće veze sa drugim komponentama

Tokom svoje analize, istraživači iz ESET Takođe su identifikovali nepotpisani modul kernela pod nazivom BCDropper, koji su potencijalno razvili isti Bootkitty autori. Ovaj modul uključuje napredne funkcije kao što je mogućnost sakrivanja otvorenih datoteka, procesa i portova, Tipične karakteristike rootkita.

BCDropper Takođe postavlja ELF binarni fajl koji se zove BCObserver, koji učitava još jedan još neidentifikovani modul kernela. Iako direktna veza između ovih komponenti i Bootkittyja nije potvrđena, njihova imena i ponašanja ukazuju na povezanost.

Bootkitty uticaj i preventivne mjere

Iako Bootkitty još uvijek ne predstavlja stvarnu prijetnju Za većinu Linux sistema, njegovo postojanje naglašava potrebu da budu spremni za moguće buduće prijetnje. Indikatori angažmana povezani s Bootkittyjem uključuju:

  • Stringovi izmijenjeni u kernelu: vidljivo sa komandom uname -v.
  • Prisutnost varijable LD_PRELOAD u arhivu /proc/1/environ.
  • Mogućnost učitavanja nepotpisanih modula kernela: čak i na sistemima sa omogućenim Secure Boot.
  • Jezgro je označeno kao "uprljano", što ukazuje na moguće neovlašteno mijenjanje.

Da bi se smanjio rizik koji predstavlja ova vrsta zlonamjernog softvera, stručnjaci preporučuju da UEFI Secure Boot ostane omogućen, kao i da osigurate da su firmver, operativni sistem i UEFI lista opoziva ažurirano.

Promjena paradigme u UEFI prijetnjama

Bootkitty ne samo da osporava percepciju da su UEFI bootkiti ekskluzivni za Windows, ali i naglašava sve veća pažnja cyber kriminalaca prema Linux baziranim sistemima. Iako je još uvijek u fazi razvoja, njegov izgled je poziv na buđenje za poboljšanje sigurnosti u ovakvom okruženju.

Ovaj nalaz pojačava potrebu za proaktivnim nadzorom i implementacijom napredne mere bezbednosti za ublažavanje potencijalnih pretnji koje mogu da iskoriste ranjivosti na nivou firmvera i procesa pokretanja.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.