Bootkitty Ditemui: Bootkit UEFI Pertama Direka untuk Linux

  • Bootkitty menjadi bootkit UEFI pertama yang direka untuk sistem Linux.
  • Ditemui oleh penyelidik ESET, ia menyasarkan beberapa versi Ubuntu dan mempunyai pendekatan eksperimen.
  • Perisian hasad melumpuhkan pengesahan tandatangan kernel dan menggunakan kaedah lanjutan untuk memintas mekanisme keselamatan.
  • ESET menyerlahkan kepentingan mengukuhkan keselamatan siber dalam Linux dalam menghadapi kemungkinan perkembangan masa depan.

Bootkitty

Un Penemuan baru-baru ini telah menggegarkan adegan keselamatan siber: Penyelidik telah mengenal pasti bootkit UEFI pertama yang direka khusus untuk sistem Linux, dipanggil Bootkitty oleh penciptanya. Penemuan ini menandakan evolusi ketara dalam ancaman UEFI, yang secara sejarah tertumpu hampir secara eksklusif pada sistem Windows. Walaupun perisian hasad nampaknya berada dalam fasa pembuktian konsep, kewujudannya membuka pintu kepada kemungkinan ancaman yang lebih canggih pada masa hadapan.

Dalam tahun-tahun kebelakangan ini, Ancaman UEFI telah menyaksikan kemajuan yang ketara. Daripada bukti pertama konsep pada tahun 2012 hingga kes yang lebih baru seperti ESPecter dan BlackLotus, komuniti keselamatan telah melihat peningkatan dalam kerumitan serangan ini. Walau bagaimanapun, Bootkitty mewakili perubahan penting, mengalihkan perhatian kepada sistem Linux, khususnya beberapa versi Ubuntu.

Ciri-ciri Teknikal Bootkitty

Bootkitty menonjol kerana keupayaan teknikalnya yang canggih. Malware ini menggunakan kaedah untuk memintas mekanisme keselamatan UEFI Secure Boot dengan menampal fungsi pengesahan dalam memori yang kritikal. Dengan cara ini, ia berjaya memuatkan kernel Linux tanpa mengira sama ada Secure Boot didayakan atau tidak.

Matlamat utama Bootkitty termasuk lumpuhkan pengesahan tandatangan kernel dan pramuat binari ELF berniat jahat yang tidak diketahui Melalui proses tersebut INIT daripada Linux. Walau bagaimanapun, disebabkan penggunaan corak kod yang tidak dioptimumkan dan ofset tetap, keberkesanannya terhad kepada sebilangan kecil konfigurasi dan versi kernel dan GRUB.

Keanehan perisian hasad ialah sifat percubaannya: mengandungi fungsi rosak yang nampaknya bertujuan untuk ujian dalaman atau tunjuk cara. Ini, bersama-sama dengannya ketidakupayaan untuk beroperasi pada sistem dengan Boot Selamat didayakan di luar kotak, menunjukkan bahawa ia masih dalam peringkat awal pembangunan.

Pendekatan modular dan kemungkinan hubungan dengan komponen lain

Semasa analisis mereka, penyelidik dari ESET Mereka juga mengenal pasti modul kernel yang tidak ditandatangani dipanggil BCDropper, yang berpotensi dibangunkan oleh pengarang Bootkitty yang sama. Modul ini termasuk ciri lanjutan seperti keupayaan untuk menyembunyikan fail terbuka, proses dan port, Ciri tipikal rootkit.

BCDropper Ia juga menggunakan binari ELF yang dipanggil BCObserver, yang memuatkan satu lagi modul kernel yang belum dikenal pasti. Walaupun hubungan langsung antara komponen ini dan Bootkitty belum disahkan, nama dan tingkah laku mereka mencadangkan sambungan.

Kesan Bootkitty dan Langkah-langkah Pencegahan

Walaupun Bootkitty belum lagi menimbulkan ancaman sebenar Bagi kebanyakan sistem Linux, kewujudannya menekankan keperluan untuk bersedia menghadapi kemungkinan ancaman masa depan. Petunjuk penglibatan yang dikaitkan dengan Bootkitty termasuk:

  • Rentetan diubah suai dalam kernel: kelihatan dengan arahan uname -v.
  • Kehadiran pembolehubah LD_PRELOAD dalam arkib /proc/1/environ.
  • Keupayaan untuk memuatkan modul kernel yang tidak ditandatangani: walaupun pada sistem dengan Boot Selamat didayakan.
  • Inti ditanda "tercemar", menunjukkan kemungkinan gangguan.

Untuk mengurangkan risiko yang ditimbulkan oleh jenis perisian hasad ini, pakar mengesyorkan agar UEFI Secure Boot didayakan, serta memastikan bahawa perisian tegar, sistem pengendalian dan senarai pembatalan UEFI adalah dikemas kini.

Anjakan paradigma dalam ancaman UEFI

Bootkitty bukan sahaja mencabar persepsi bahawa bootkit UEFI adalah eksklusif untuk Windows, tetapi juga menyerlahkan perhatian yang semakin meningkat penjenayah siber terhadap sistem berasaskan Linux. Walaupun ia masih dalam fasa pembangunan, kemunculannya adalah panggilan bangun untuk meningkatkan keselamatan dalam persekitaran jenis ini.

Penemuan ini mengukuhkan keperluan untuk pengawasan dan pelaksanaan proaktif langkah keselamatan lanjutan untuk mengurangkan potensi ancaman yang mungkin mengeksploitasi kelemahan pada tahap perisian tegar dan proses but.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.