Bootkitty atklāts: pirmais UEFI sāknēšanas komplekts, kas paredzēts operētājsistēmai Linux

  • Bootkitty kļūst par pirmo UEFI sāknēšanas komplektu, kas paredzēts Linux sistēmām.
  • To atklāja ESET pētnieki, tas ir paredzēts dažām Ubuntu versijām, un tam ir eksperimentāla pieeja.
  • Ļaunprātīga programmatūra atspējo kodola paraksta verifikāciju un izmanto uzlabotas metodes, lai apietu drošības mehānismus.
  • ESET uzsver, cik svarīgi ir stiprināt kiberdrošību operētājsistēmā Linux, ņemot vērā iespējamos turpmākos notikumus.

Bootkitty

Un Nesenais atklājums ir satricinājis kiberdrošības ainu: Pētnieki ir identificējuši pirmo UEFI sāknēšanas komplektu, kas īpaši izstrādāts Linux sistēmām, ko sauc Bootkitty to veidotāji. Šis atklājums iezīmē nozīmīgu UEFI draudu attīstību, kas vēsturiski koncentrējās gandrīz tikai uz Windows sistēmām. Lai gan šķiet, ka ļaunprogrammatūra ir koncepcijas pierādījuma fāzē, tā esamība paver durvis iespējamiem sarežģītākiem draudiem nākotnē.

Pēdējos gados UEFI draudi ir piedzīvojuši ievērojamu progresu. No pirmajiem koncepcijas pierādījumiem 2012. gadā līdz jaunākiem gadījumiem, piemēram, ESPecter un BlackLotus, drošības kopiena ir piedzīvojusi šo uzbrukumu sarežģītības pieaugumu. Tomēr Bootkitty ir svarīgas izmaiņas, pievēršot uzmanību Linux sistēmām, īpaši dažām Ubuntu versijām.

Bootkitty tehniskās īpašības

Bootkitty izceļas ar progresīvām tehniskajām iespējām. Šī ļaunprogrammatūra izmanto metodes, lai apietu UEFI Secure Boot drošības mehānismus, labojot kritiskās atmiņas verifikācijas funkcijas. Tādā veidā tam izdodas ielādēt Linux kodolu neatkarīgi no tā, vai drošā sāknēšana ir iespējota vai nav.

Bootkitty galvenais mērķis ietver atspējot kodola paraksta pārbaudi un priekšslodze nezināmi ļaunprātīgi ELF binārie faili Caur procesu init no Linux. Tomēr, tā kā tiek izmantoti neoptimizēti koda modeļi un fiksētas nobīdes, tā efektivitāte ir ierobežota ar nelielu skaitu konfigurāciju un kodola versiju un GRUB.

Ļaunprātīgas programmatūras īpatnība ir tās eksperimentālais raksturs: satur bojātas funkcijas, kas, šķiet, ir paredzētas iekšējai pārbaudei vai demonstrācijām. Tas kopā ar to nespēja darboties sistēmās, kurās ir iespējota drošā sāknēšana, liecina, ka tā joprojām ir izstrādes sākuma stadijā.

Modulāra pieeja un iespējamās saites ar citiem komponentiem

Analīzes laikā pētnieki no ESET Viņi arī identificēja neparakstītu kodola moduli ar nosaukumu BCDropper, ko, iespējams, izstrādājuši tie paši Bootkitty autori. Šajā modulī ir iekļautas uzlabotas funkcijas, piemēram, iespēja paslēpt atvērtos failus, procesus un portus, Rootkit tipiskās īpašības.

BCDropper Tas arī izvieto ELF bināro failu ar nosaukumu BCObserver, kas ielādē citu vēl neidentificētu kodola moduli. Lai gan tieša saistība starp šiem komponentiem un Bootkitty nav apstiprināta, to nosaukumi un uzvedība liecina par saistību.

Bootkitty ietekme un preventīvie pasākumi

Pat ja Bootkitty vēl nerada reālus draudus Lielākajai daļai Linux sistēmu tās esamība uzsver nepieciešamību būt gataviem iespējamiem nākotnes draudiem. Ar Bootkitty saistītie iesaistīšanās rādītāji ietver:

  • Kodolā modificētās virknes: redzams ar komandu uname -v.
  • Mainīgā lieluma klātbūtne LD_PRELOAD arhīvā /proc/1/environ.
  • Iespēja ielādēt neparakstītus kodola moduļus: pat sistēmās ar iespējotu drošo sāknēšanu.
  • Kodols ir apzīmēts ar “satraipīts”, norādot uz iespējamu iejaukšanos.

Lai mazinātu risku, ko rada šāda veida ļaunprātīga programmatūra, eksperti iesaka saglabāt iespējotu UEFI Secure Boot, kā arī nodrošināt, lai programmaparatūra, operētājsistēma un UEFI atsaukšanas saraksts būtu atjaunināts.

Paradigmas maiņa UEFI draudos

Bootkitty ne tikai apstrīd uzskatu, ka UEFI sāknēšanas komplekti ir ekskluzīvi operētājsistēmai Windows, bet arī izceļ pieaugošā kibernoziedznieku uzmanība uz Linux balstītām sistēmām. Lai gan tas joprojām ir izstrādes fāzē, tā izskats ir modinātājs, lai uzlabotu drošību šāda veida vidē.

Šis konstatējums pastiprina vajadzību pēc proaktīvas uzraudzības un īstenošanas uzlaboti drošības pasākumi lai mazinātu iespējamos draudus, kas var izmantot ievainojamības programmaparatūras un sāknēšanas procesa līmenī.


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.