Un A legújabb felfedezés megrázta a kiberbiztonsági szcénát: A kutatók azonosították az első kifejezetten Linux rendszerekre tervezett UEFI bootkit, az ún Bootkitty alkotói által. Ez a megállapítás jelentős fejlődést jelez az UEFI-fenyegetések terén, amelyek történelmileg szinte kizárólag a Windows-rendszerekre összpontosultak. Bár úgy tűnik, hogy a rosszindulatú program a koncepció bizonyítási fázisában van, létezése megnyitja a kaput a jövőben esetlegesen kifinomultabb fenyegetések előtt.
Az elmúlt években Az UEFI fenyegetésekkel kapcsolatban jelentős előrelépés történt. A 2012-es koncepció első bizonyítása óta az olyan újabb esetekig, mint az ESPecter és a BlackLotus, a biztonsági közösség egyre összetettebbé tette ezeket a támadásokat. A Bootkitty azonban fontos változást jelent, a Linux rendszerekre, különösen az Ubuntu egyes verzióira irányítja a figyelmet.
Bootkitty műszaki jellemzői
Bootkitty fejlett technikai képességeivel tűnik ki. Ez a rosszindulatú program olyan módszereket használ, amelyek megkerülik az UEFI Secure Boot biztonsági mechanizmusait a kritikus memórián belüli ellenőrzési funkciók javításával. Így sikerül betölteni a Linux kernelt, függetlenül attól, hogy a Secure Boot engedélyezve van-e vagy sem.
A Bootkitty fő célja magában foglalja letiltja a kernel aláírás ellenőrzését és előtöltés ismeretlen rosszindulatú ELF binárisok A folyamaton keresztül init a Linuxról. A nem optimalizált kódminták és rögzített eltolások miatt azonban hatékonysága néhány konfigurációra és kernelverzióra korlátozódik, GRUB.
A rosszindulatú programok sajátossága a kísérleti jellege: hibás függvényeket tartalmaz, amelyeket belső tesztelésre vagy bemutatókra szántak. Ez, azzal együtt működésképtelenség Azon rendszereken, amelyeken a Biztonságos rendszerindítás gyárilag engedélyezett, azt sugallja, hogy még a fejlesztés korai szakaszában van.
Moduláris megközelítés és lehetséges kapcsolatok más összetevőkkel
Elemzésük során a kutatók a ESET Ezenkívül azonosítottak egy aláíratlan kernelmodult, a BCDroppert, amelyet potenciálisan ugyanazok a Bootkitty-szerzők fejlesztettek ki. Ez a modul olyan fejlett funkciókat tartalmaz, mint például a nyitott fájlok, folyamatok és portok elrejtése, A rootkit tipikus jellemzői.
BCDropper A BCObserver nevű ELF binárist is telepíti, amely egy másik, még azonosítatlan kernelmodult tölt be. Bár közvetlen kapcsolat ezen összetevők és a Bootkitty között nem erősíthető meg, nevük és viselkedésük összefüggésre utal.
Bootkitty hatás és megelőző intézkedések
Annak ellenére, hogy Bootkitty még nem jelent valós veszélyt A legtöbb Linux rendszer esetében a létezése rámutat arra, hogy fel kell készülni a lehetséges jövőbeli fenyegetésekre. A Bootkitty-vel kapcsolatos elkötelezettség mutatói a következők:
- A kernelben módosított karakterláncok: paranccsal látható
uname -v
. - A változó jelenléte
LD_PRELOAD
az archívumban/proc/1/environ
. - Aláíratlan kernelmodulok betöltésének lehetősége: még olyan rendszereken is, amelyeken engedélyezve van a Secure Boot.
- A kernel „szennyezett” felirattal jelzi a lehetséges manipulációt.
Az ilyen típusú rosszindulatú programok által jelentett kockázatok csökkentése érdekében a szakértők azt javasolják, hogy az UEFI Secure Boot engedélyezve maradjon, valamint gondoskodjon arról, hogy a firmware, az operációs rendszer és az UEFI visszavonási listája frissítve.
Paradigmaváltás az UEFI-fenyegetésekben
A Bootkitty nemcsak azt a felfogást kérdőjelezi meg, hogy az UEFI indítókészletek kizárólag a Windows számára készültek, hanem kiemeli a a kiberbűnözők növekvő figyelme a Linux alapú rendszerek felé. Bár még fejlesztési fázisban van, megjelenése ébresztő a biztonság javítására az ilyen típusú környezetben.
Ez a megállapítás megerősíti a proaktív felügyelet és végrehajtás szükségességét fejlett biztonsági intézkedések a lehetséges fenyegetések mérséklése érdekében, amelyek a firmware és a rendszerindítási folyamat szintjén kihasználhatják a biztonsági réseket.