Bootkitty felfedezése: Az első Linuxra tervezett UEFI Bootkit

  • A Bootkitty lesz az első Linux rendszerekre tervezett UEFI bootkit.
  • Az ESET kutatói fedezték fel, az Ubuntu egyes verzióit célozza meg, és kísérleti megközelítést alkalmaz.
  • A rosszindulatú program letiltja a kernel aláírásának ellenőrzését, és fejlett módszereket használ a biztonsági mechanizmusok megkerülésére.
  • Az ESET kiemeli a Linux kiberbiztonságának megerősítésének fontosságát a lehetséges jövőbeli fejlesztések fényében.

Bootkitty

Un A legújabb felfedezés megrázta a kiberbiztonsági szcénát: A kutatók azonosították az első kifejezetten Linux rendszerekre tervezett UEFI bootkit, az ún Bootkitty alkotói által. Ez a megállapítás jelentős fejlődést jelez az UEFI-fenyegetések terén, amelyek történelmileg szinte kizárólag a Windows-rendszerekre összpontosultak. Bár úgy tűnik, hogy a rosszindulatú program a koncepció bizonyítási fázisában van, létezése megnyitja a kaput a jövőben esetlegesen kifinomultabb fenyegetések előtt.

Az elmúlt években Az UEFI fenyegetésekkel kapcsolatban jelentős előrelépés történt. A 2012-es koncepció első bizonyítása óta az olyan újabb esetekig, mint az ESPecter és a BlackLotus, a biztonsági közösség egyre összetettebbé tette ezeket a támadásokat. A Bootkitty azonban fontos változást jelent, a Linux rendszerekre, különösen az Ubuntu egyes verzióira irányítja a figyelmet.

Bootkitty műszaki jellemzői

Bootkitty fejlett technikai képességeivel tűnik ki. Ez a rosszindulatú program olyan módszereket használ, amelyek megkerülik az UEFI Secure Boot biztonsági mechanizmusait a kritikus memórián belüli ellenőrzési funkciók javításával. Így sikerül betölteni a Linux kernelt, függetlenül attól, hogy a Secure Boot engedélyezve van-e vagy sem.

A Bootkitty fő célja magában foglalja letiltja a kernel aláírás ellenőrzését és előtöltés ismeretlen rosszindulatú ELF binárisok A folyamaton keresztül init a Linuxról. A nem optimalizált kódminták és rögzített eltolások miatt azonban hatékonysága néhány konfigurációra és kernelverzióra korlátozódik, GRUB.

A rosszindulatú programok sajátossága a kísérleti jellege: hibás függvényeket tartalmaz, amelyeket belső tesztelésre vagy bemutatókra szántak. Ez, azzal együtt működésképtelenség Azon rendszereken, amelyeken a Biztonságos rendszerindítás gyárilag engedélyezett, azt sugallja, hogy még a fejlesztés korai szakaszában van.

Moduláris megközelítés és lehetséges kapcsolatok más összetevőkkel

Elemzésük során a kutatók a ESET Ezenkívül azonosítottak egy aláíratlan kernelmodult, a BCDroppert, amelyet potenciálisan ugyanazok a Bootkitty-szerzők fejlesztettek ki. Ez a modul olyan fejlett funkciókat tartalmaz, mint például a nyitott fájlok, folyamatok és portok elrejtése, A rootkit tipikus jellemzői.

BCDropper A BCObserver nevű ELF binárist is telepíti, amely egy másik, még azonosítatlan kernelmodult tölt be. Bár közvetlen kapcsolat ezen összetevők és a Bootkitty között nem erősíthető meg, nevük és viselkedésük összefüggésre utal.

Bootkitty hatás és megelőző intézkedések

Annak ellenére, hogy Bootkitty még nem jelent valós veszélyt A legtöbb Linux rendszer esetében a létezése rámutat arra, hogy fel kell készülni a lehetséges jövőbeli fenyegetésekre. A Bootkitty-vel kapcsolatos elkötelezettség mutatói a következők:

  • A kernelben módosított karakterláncok: paranccsal látható uname -v.
  • A változó jelenléte LD_PRELOAD az archívumban /proc/1/environ.
  • Aláíratlan kernelmodulok betöltésének lehetősége: még olyan rendszereken is, amelyeken engedélyezve van a Secure Boot.
  • A kernel „szennyezett” felirattal jelzi a lehetséges manipulációt.

Az ilyen típusú rosszindulatú programok által jelentett kockázatok csökkentése érdekében a szakértők azt javasolják, hogy az UEFI Secure Boot engedélyezve maradjon, valamint gondoskodjon arról, hogy a firmware, az operációs rendszer és az UEFI visszavonási listája frissítve.

Paradigmaváltás az UEFI-fenyegetésekben

A Bootkitty nemcsak azt a felfogást kérdőjelezi meg, hogy az UEFI indítókészletek kizárólag a Windows számára készültek, hanem kiemeli a a kiberbűnözők növekvő figyelme a Linux alapú rendszerek felé. Bár még fejlesztési fázisban van, megjelenése ébresztő a biztonság javítására az ilyen típusú környezetben.

Ez a megállapítás megerősíti a proaktív felügyelet és végrehajtás szükségességét fejlett biztonsági intézkedések a lehetséges fenyegetések mérséklése érdekében, amelyek a firmware és a rendszerindítási folyamat szintjén kihasználhatják a biztonsági réseket.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.