بدافزار Bootkitty

محققان امنیت سایبری از چیزی که به عنوان اولین بوت کیت Unified Extensible Firmware Interface (UEFI) توصیف می شود، رونمایی کرده اند که به طور خاص برای هدف قرار دادن سیستم های لینوکس طراحی شده است. این توسعه جدید که Bootkitty نام دارد، نشان دهنده یک تغییر قابل توجه در چشم انداز تهدیدات سایبری است که به طور سنتی بوت کیت های UEFI عمدتاً با سیستم عامل های ویندوز مرتبط هستند.

Bootkitty: اثبات مفهوم یا تهدید نوظهور؟

اعتقاد بر این است که Bootkitty که در 5 نوامبر 2024 کشف شد، به جای یک تهدید فعال، یک اثبات مفهوم (PoC) است. که ایرانوکیت نیز نامیده می شود، در حال حاضر هیچ مدرکی دال بر استفاده از آن در حملات دنیای واقعی وجود ندارد. هدف اصلی بوت کیت که توسط یک توسعه دهنده با نام مستعار BlackCat ایجاد شده است، غیرفعال کردن تأیید امضای هسته لینوکس در حین بارگذاری دو باینری ELF هنوز ناشناس در طول فرآیند اولیه سازی لینوکس است. این فرآیند، که به عنوان نقطه شروع هسته در هنگام راه اندازی سیستم عمل می کند، برای امنیت عملیاتی لینوکس بسیار مهم است.

بهره برداری از UEFI برای لینوکس: بعد جدیدی از ریسک

ظهور Bootkitty این تصور دیرینه مبنی بر اینکه بوت کیت های UEFI منحصر به سیستم های ویندوز هستند را به چالش می کشد. با این توسعه، کاربران لینوکس اکنون با یک راه بالقوه جدید برای بهره برداری روبرو هستند. بوت کیت از یک گواهی خودامضا برای اجرای بار خود استفاده می کند، که عملکرد آن را در سیستم هایی با فعال بودن UEFI Secure Boot محدود می کند. با این حال، اگر مهاجمان موفق به نصب یک گواهی تقلبی تحت کنترل خود شوند، همچنان می تواند کار کند.

فراتر از دور زدن Secure Boot، Bootkitty حافظه هسته لینوکس را در طول فرآیند بوت دستکاری می کند و بررسی های یکپارچگی را تضعیف می کند. قبل از اجرای بوت لودر یکپارچه GNU GRand (GRUB)، بوت کیت توابع حیاتی برای تایید یکپارچگی را رهگیری و اصلاح می کند. این استراتژی حمله چند لایه درک پیچیده ای از UEFI و داخلی سیستم لینوکس را نشان می دهد.

هدف قرار دادن بوت امن و GRUB: تکنیک های پیشرفته در بازی

هنگامی که Secure Boot فعال است، Bootkitty پروتکل های احراز هویت UEFI را برای دور زدن بررسی های یکپارچگی تغییر می دهد. همچنین برای جلوگیری از شناسایی، توابع راه‌انداز مشروع GRUB را اصلاح می‌کند و از توانایی آن برای اجرای بارهای ناامن اطمینان می‌دهد. این وصله ها به فرآیند رفع فشرده سازی هسته لینوکس گسترش می یابد و بوت کیت را قادر می سازد تا ماژول های غیرمجاز را در حین راه اندازی بارگیری کند.

برای تسهیل حمله، Bootkitty متغیر محیطی LD_PRELOAD را تغییر می دهد. این تنظیم، فرآیند اولیه سازی لینوکس را مجبور می کند تا دو شیء مشترک ELF ناشناخته را بارگذاری کند - که با نام های '/opt/injector.so' و '/init شناسایی شده اند، بنابراین دسترسی بوت کیت به عملیات سیستم افزایش می یابد.

BCdropper و BCObserver: یک چارچوب بزرگتر؟

تحقیق در مورد Bootkitty یک ماژول هسته بدون علامت بالقوه مرتبط به نام BCDropper را کشف کرده است. این ماژول قادر به استقرار یک باینری ELF به نام BCObserver است که به نوبه خود، ماژول هسته ناشناس دیگری را هنگام راه اندازی سیستم بارگذاری می کند. این ماژول اضافی که با همان نام مستعار BlackCat کار می کند، عملکردهای معمولی روت کیت ها، مانند مخفی کردن فایل ها، فرآیندها و پورت های شبکه را نشان می دهد. با وجود این قابلیت‌های پیشرفته، محققان هیچ مدرکی دال بر ارتباط این فعالیت با گروه باج‌افزار ALPHV/BlackCat پیدا نکرده‌اند.

مفاهیم برای امنیت UEFI و سیستم های لینوکس

اگرچه Bootkitty هنوز به عنوان اثبات مفهوم طبقه بندی می شود، اما فصل جدیدی در تکامل بوت کیت های UEFI را نشان می دهد و دامنه دسترسی آنها را فراتر از محیط های ویندوز گسترش می دهد. این پیشرفت بر اهمیت آماده‌سازی برای تهدیدات احتمالی آینده در سیستم‌های مبتنی بر لینوکس تأکید می‌کند، سیستم‌هایی که مدت‌ها کمتر در برابر چنین حملاتی آسیب‌پذیر هستند.

ظهور Bootkitty همچنین نیاز به اقدامات امنیتی سیستم را برجسته می کند، مانند حفظ سیستم عامل به روز شده، استفاده از گواهی های قابل اعتماد، و فعال کردن Secure Boot در هر کجا که ممکن است. با نشان دادن امکان‌پذیری بوت‌کیت‌های UEFI در لینوکس، Bootkitty به عنوان یک زنگ هشدار برای متخصصان امنیت سایبری و کاربران لینوکس عمل می‌کند تا دفاع خود را تقویت کنند.