Objeven Bootkitty: První UEFI Bootkit navržený pro Linux

  • Bootkitty se stává prvním bootkitem UEFI navrženým pro systémy Linux.
  • Objevili jej výzkumníci ESET, cílí na některé verze Ubuntu a má experimentální přístup.
  • Malware deaktivuje ověřování podpisů jádra a používá pokročilé metody k obcházení bezpečnostních mechanismů.
  • ESET zdůrazňuje důležitost posílení kybernetické bezpečnosti v Linuxu vzhledem k možnému budoucímu vývoji.

Bootkitty

Un Nedávný objev otřásl scénou kybernetické bezpečnosti: Výzkumníci identifikovali první bootkit UEFI speciálně navržený pro systémy Linux, tzv Bootkitty svými tvůrci. Toto zjištění znamená významný vývoj v hrozbách UEFI, které se historicky zaměřovaly téměř výhradně na systémy Windows. Ačkoli zdá se, že malware je ve fázi proof of concept, jeho existence otevírá dveře možným sofistikovanějším hrozbám do budoucna.

V posledních letech Hrozby UEFI zaznamenaly výrazný pokrok. Od prvních důkazů konceptu v roce 2012 až po novější případy, jako jsou ESPecter a BlackLotus, bezpečnostní komunita zaznamenala nárůst složitosti těchto útoků. Bootkitty však představuje důležitou změnu, která přesouvá pozornost na systémy Linux, konkrétně na některé verze Ubuntu.

Technické vlastnosti Bootkitty

Bootkitty vyniká svými pokročilými technickými možnostmi. Tento malware používá metody k obcházení bezpečnostních mechanismů UEFI Secure Boot opravováním kritických funkcí ověřování v paměti. Tímto způsobem zvládne načíst linuxové jádro bez ohledu na to, zda je Secure Boot povolen nebo ne.

Mezi hlavní cíl Bootkitty patří zakázat ověřování podpisu jádra a předpětí neznámé škodlivé binární soubory ELF Prostřednictvím procesu init systému Linux. Vzhledem k použití neoptimalizovaných kódových vzorů a pevných offsetů je však jeho účinnost omezena na malý počet konfigurací a verzí jádra a GRUB.

Zvláštností malwaru je jeho experimentální povaha: obsahuje nefunkční funkce, které se zdají být určeny pro interní testování nebo ukázky. Toto spolu s jeho neschopnost provozu na systémech s povoleným Secure Boot po vybalení naznačuje, že je stále v raných fázích vývoje.

Modulární přístup a možná propojení s dalšími komponentami

Při jejich rozboru výzkumníci z ESET Identifikovali také nepodepsaný modul jádra nazvaný BCDropper, potenciálně vyvinutý stejnými autory Bootkitty. Tento modul obsahuje pokročilé funkce, jako je schopnost skrýt otevřené soubory, procesy a porty, Typické vlastnosti rootkitu.

BCDropper Nasazuje také binární soubor ELF s názvem BCObserver, který načítá další dosud neidentifikovaný modul jádra. Přestože přímý vztah mezi těmito komponentami a Bootkitty nebyl potvrzen, jejich názvy a chování naznačují souvislost.

Bootkitty dopad a preventivní opatření

I když Bootkitty zatím nepředstavuje reálnou hrozbu U většiny linuxových systémů jeho existence podtrhuje potřebu být připraven na potenciální budoucí hrozby. Mezi indikátory zapojení spojené s Bootkitty patří:

  • Řetězce upravené v jádře: viditelné pomocí příkazu uname -v.
  • Přítomnost proměnné LD_PRELOAD v archivu /proc/1/environ.
  • Schopnost načíst nepodepsané moduly jádra: i na systémech s povoleným Secure Boot.
  • Jádro označeno jako „zašpiněné“, což naznačuje možnou manipulaci.

Aby se zmírnilo riziko, které tento typ malwaru představuje, odborníci doporučují ponechat funkci UEFI Secure Boot povolenou a také zajistit, aby byl firmware, operační systém a seznam odvolání UEFI aktualizováno.

Změna paradigmatu v hrozbách UEFI

Bootkitty nejenže zpochybňuje dojem, že bootkity UEFI jsou exkluzivní pro Windows, ale také zdůrazňuje rostoucí pozornost kyberzločinců vůči systémům založeným na Linuxu. Přestože je stále ve fázi vývoje, jeho vzhled je probuzením ke zlepšení zabezpečení v tomto typu prostředí.

Toto zjištění posiluje potřebu proaktivního dohledu a provádění pokročilá bezpečnostní opatření ke zmírnění potenciálních hrozeb, které mohou zneužívat zranitelnosti na úrovni firmwaru a bootovacího procesu.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.