Bootkitty Malware
Изследователите в областта на киберсигурността разкриха това, което се описва като първия в историята буткит Unified Extensible Firmware Interface (UEFI), специално проектиран за насочване към Linux системи. Тази нова разработка, наречена Bootkitty, представлява значителна промяна в пейзажа на кибернетичните заплахи, при който традиционно UEFI bootkits се свързва предимно с Windows платформи.
Съдържание
Bootkitty: доказателство за концепцията или възникваща заплаха?
Разкрит на 5 ноември 2024 г., се смята, че Bootkitty е доказателство за концепцията (PoC), а не активно разгърната заплаха. Наричан още IranuKit, понастоящем няма доказателства, които да предполагат използването му при атаки в реалния свят. Създаден от разработчик, работещ под псевдонима BlackCat, основната цел на буткита е да деактивира проверката на подписа на ядрото на Linux, докато предварително зарежда два все още неидентифицирани двоични файла на ELF по време на процеса на инициализация на Linux. Този процес, който служи като отправна точка на ядрото по време на стартиране на системата, е от решаващо значение за оперативната сигурност на Linux.
Използване на UEFI за Linux: Ново измерение на риска
Появата на Bootkitty предизвиква дългогодишното схващане, че UEFI bootkits са ексклузивни за Windows системи. С това развитие потребителите на Linux сега са изправени пред потенциален нов начин за експлоатация. Буткитът използва самоподписан сертификат, за да изпълни своя полезен товар, което ограничава неговата функционалност на системи с активирано UEFI Secure Boot. Въпреки това, той все още може да работи, ако нападателите успеят да инсталират измамен сертификат под техен контрол.
Освен заобикалянето на Secure Boot, Bootkitty манипулира паметта на Linux ядрото по време на процеса на зареждане, подкопавайки проверките за цялост. Преди GNU GRand Unified Bootloader (GRUB) да бъде изпълнен, bootkit прихваща и коригира функции, критични за проверката на целостта. Тази многопластова стратегия за атака демонстрира усъвършенствано разбиране на вътрешността на системата UEFI и Linux.
Насочване към защитено зареждане и GRUB: Разширени техники в играта
Когато Secure Boot е активирано, Bootkitty променя протоколите за удостоверяване на UEFI, за да заобиколи проверките за цялост. Той също така коригира легитимните функции за зареждане на GRUB, за да избегне откриването, като допълнително гарантира способността му да изпълнява опасни полезни натоварвания. Тези корекции обхващат процеса на декомпресиране на ядрото на Linux, позволявайки на bootkit да зарежда неоторизирани модули по време на стартиране.
За да улесни атаката си, Bootkitty променя променливата на средата LD_PRELOAD. Тази настройка принуждава процеса на инициализация на Linux да зареди два неизвестни ELF споделени обекта – идентифицирани като „/opt/injector.so“ и „/init – като по този начин“ разширява обхвата на буткита в системните операции.
BCDropper и BCObserver: По-голяма рамка?
Изследването на Bootkitty разкри потенциално свързан неподписан модул на ядрото, наречен BCDropper. Този модул е в състояние да внедри ELF двоичен файл, наречен BCObserver, който от своя страна зарежда друг неидентифициран модул на ядрото при стартиране на системата. Работейки под същия псевдоним BlackCat, този допълнителен модул показва функционалности, типични за руткитите, като скриване на файлове, процеси и мрежови портове. Въпреки тези усъвършенствани възможности, изследователите не са открили доказателства, свързващи тази дейност с групата ransomware ALPHV/BlackCat.
Последици за сигурността на UEFI и Linux системите
Въпреки че все още е категоризиран като доказателство за концепцията, Bootkitty сигнализира за нова глава в еволюцията на UEFI bootkits, разширявайки обхвата им отвъд средите на Windows. Това развитие подчертава важността на подготовката за потенциални бъдещи заплахи в Linux-базирани системи, които отдавна се смятат за по-малко уязвими от подобни атаки.
Възходът на Bootkitty също подчертава необходимостта от бдителни мерки за сигурност на системата, като поддържане на актуализиран фърмуер, използване на надеждни сертификати и активиране на Secure Boot, когато е възможно. Като демонстрира осъществимостта на UEFI bootkits на Linux, Bootkitty служи като сигнал за събуждане както за професионалистите по киберсигурност, така и за потребителите на Linux, за да укрепят своите защити.
