Un Nesenais atklājums ir satricinājis kiberdrošības ainu: Pētnieki ir identificējuši pirmo UEFI sāknēšanas komplektu, kas īpaši izstrādāts Linux sistēmām, ko sauc Bootkitty to veidotāji. Šis atklājums iezīmē nozīmīgu UEFI draudu attīstību, kas vēsturiski koncentrējās gandrīz tikai uz Windows sistēmām. Lai gan šķiet, ka ļaunprogrammatūra ir koncepcijas pierādījuma fāzē, tā esamība paver durvis iespējamiem sarežģītākiem draudiem nākotnē.
Pēdējos gados UEFI draudi ir piedzīvojuši ievērojamu progresu. No pirmajiem koncepcijas pierādījumiem 2012. gadā līdz jaunākiem gadījumiem, piemēram, ESPecter un BlackLotus, drošības kopiena ir piedzīvojusi šo uzbrukumu sarežģītības pieaugumu. Tomēr Bootkitty ir svarīgas izmaiņas, pievēršot uzmanību Linux sistēmām, īpaši dažām Ubuntu versijām.
Bootkitty tehniskās īpašības
Bootkitty izceļas ar progresīvām tehniskajām iespējām. Šī ļaunprogrammatūra izmanto metodes, lai apietu UEFI Secure Boot drošības mehānismus, labojot kritiskās atmiņas verifikācijas funkcijas. Tādā veidā tam izdodas ielādēt Linux kodolu neatkarīgi no tā, vai drošā sāknēšana ir iespējota vai nav.
Bootkitty galvenais mērķis ietver atspējot kodola paraksta pārbaudi un priekšslodze nezināmi ļaunprātīgi ELF binārie faili Caur procesu init no Linux. Tomēr, tā kā tiek izmantoti neoptimizēti koda modeļi un fiksētas nobīdes, tā efektivitāte ir ierobežota ar nelielu skaitu konfigurāciju un kodola versiju un GRUB.
Ļaunprātīgas programmatūras īpatnība ir tās eksperimentālais raksturs: satur bojātas funkcijas, kas, šķiet, ir paredzētas iekšējai pārbaudei vai demonstrācijām. Tas kopā ar to nespēja darboties sistēmās, kurās ir iespējota drošā sāknēšana, liecina, ka tā joprojām ir izstrādes sākuma stadijā.
Modulāra pieeja un iespējamās saites ar citiem komponentiem
Analīzes laikā pētnieki no ESET Viņi arī identificēja neparakstītu kodola moduli ar nosaukumu BCDropper, ko, iespējams, izstrādājuši tie paši Bootkitty autori. Šajā modulī ir iekļautas uzlabotas funkcijas, piemēram, iespēja paslēpt atvērtos failus, procesus un portus, Rootkit tipiskās īpašības.
BCDropper Tas arī izvieto ELF bināro failu ar nosaukumu BCObserver, kas ielādē citu vēl neidentificētu kodola moduli. Lai gan tieša saistība starp šiem komponentiem un Bootkitty nav apstiprināta, to nosaukumi un uzvedība liecina par saistību.
Bootkitty ietekme un preventīvie pasākumi
Pat ja Bootkitty vēl nerada reālus draudus Lielākajai daļai Linux sistēmu tās esamība uzsver nepieciešamību būt gataviem iespējamiem nākotnes draudiem. Ar Bootkitty saistītie iesaistīšanās rādītāji ietver:
- Kodolā modificētās virknes: redzams ar komandu
uname -v
. - Mainīgā lieluma klātbūtne
LD_PRELOAD
arhīvā/proc/1/environ
. - Iespēja ielādēt neparakstītus kodola moduļus: pat sistēmās ar iespējotu drošo sāknēšanu.
- Kodols ir apzīmēts ar “satraipīts”, norādot uz iespējamu iejaukšanos.
Lai mazinātu risku, ko rada šāda veida ļaunprātīga programmatūra, eksperti iesaka saglabāt iespējotu UEFI Secure Boot, kā arī nodrošināt, lai programmaparatūra, operētājsistēma un UEFI atsaukšanas saraksts būtu atjaunināts.
Paradigmas maiņa UEFI draudos
Bootkitty ne tikai apstrīd uzskatu, ka UEFI sāknēšanas komplekti ir ekskluzīvi operētājsistēmai Windows, bet arī izceļ pieaugošā kibernoziedznieku uzmanība uz Linux balstītām sistēmām. Lai gan tas joprojām ir izstrādes fāzē, tā izskats ir modinātājs, lai uzlabotu drošību šāda veida vidē.
Šis konstatējums pastiprina vajadzību pēc proaktīvas uzraudzības un īstenošanas uzlaboti drošības pasākumi lai mazinātu iespējamos draudus, kas var izmantot ievainojamības programmaparatūras un sāknēšanas procesa līmenī.