תוכנת זדונית של Bootkitty
חוקרי אבטחת סייבר חשפו את מה שמתואר כ-Unified Extensible Firmware Interface (UEFI) האתחול הראשון אי פעם שתוכנן במיוחד לכוון מערכות לינוקס. הפיתוח החדש הזה, ששמו Bootkitty, מייצג שינוי משמעותי בנוף איומי הסייבר, שבאופן מסורתי ראה ערכות אתחול של UEFI קשורות בעיקר לפלטפורמות Windows.
תוכן העניינים
Bootkitty: הוכחת מושג או איום מתהווה?
Bootkitty, שנחשף ב-5 בנובמבר 2024, נחשב להוכחה של מושג (PoC) ולא איום פעיל. המכונה גם IranuKit, כרגע אין ראיות המצביעות על השימוש בה בהתקפות בעולם האמיתי. נוצר על ידי מפתח הפועל תחת הכינוי BlackCat, המטרה העיקרית של ערכת האתחול היא להשבית את אימות החתימה של ליבת לינוקס תוך טעינה מראש של שני קבצים בינאריים ELF שטרם זוהו במהלך תהליך האתחול של לינוקס. תהליך זה, המשמש כנקודת ההתחלה של הליבה במהלך הפעלת המערכת, הוא קריטי לאבטחה התפעולית של לינוקס.
ניצול UEFI עבור לינוקס: מימד חדש של סיכון
הופעתה של Bootkitty מאתגרת את התפיסה ארוכת השנים לפיה ערכות אתחול של UEFI הן בלעדיות למערכות Windows. עם הפיתוח הזה, משתמשי לינוקס עומדים כעת בפני שדרה חדשה פוטנציאלית של ניצול. ערכת האתחול ממנפת אישור בחתימה עצמית כדי לבצע את המטען שלו, מה שמגביל את הפונקציונליות שלו במערכות עם UEFI Secure Boot מופעל. עם זאת, זה עדיין יכול לפעול אם תוקפים יצליחו להתקין אישור הונאה בשליטתם.
מעבר לעקוף את האתחול המאובטח, Bootkitty מבצע מניפולציות בזיכרון של ליבת לינוקס במהלך תהליך האתחול, ופוגע בבדיקות תקינות. לפני הפעלת GNU GRand Unified Bootloader (GRUB), ערכת האתחול מיירטת ומתקנת פונקציות קריטיות לאימות תקינות. אסטרטגיית התקפה רב-שכבתית זו מדגימה הבנה מתוחכמת של מערכות פנימיות של UEFI ו-Linux.
מיקוד לאתחול מאובטח ו-GRUB: טכניקות מתקדמות במשחק
כאשר אתחול מאובטח מופעל, Bootkitty משנה את פרוטוקולי האימות של UEFI כדי לעקוף בדיקות תקינות. הוא גם מתקן פונקציות של מטעין אתחול GRUB לגיטימיות כדי למנוע זיהוי, מה שמבטיח עוד יותר את יכולתו לבצע מטענים לא בטוחים. תיקונים אלה מתרחבים לתהליך הפירוק של ליבת לינוקס, ומאפשרים ל-bootkit לטעון מודולים לא מורשים במהלך האתחול.
כדי להקל על התקפתו, Bootkitty משנה את משתנה הסביבה LD_PRELOAD. התאמה זו מאלצת את תהליך האתחול של לינוקס לטעון שני אובייקטים משותפים ELF לא ידועים - המזוהים כ'/opt/injector.so' ו-'/init - ובכך' מרחיבים את טווח ההגעה של ערכת האתחול לתוך פעולות המערכת.
BCDropper ו-BCObserver: מסגרת גדולה יותר?
המחקר על Bootkitty חשף מודול ליבה לא חתום בעל פוטנציאל קשור בשם BCDropper. מודול זה מסוגל לפרוס ELF בינארי בשם BCObserver, אשר, בתורו, טוען מודול ליבה לא מזוהה נוסף עם הפעלת המערכת. מודול נוסף זה פועל תחת אותו שם בדוי BlackCat מציג פונקציונליות אופיינית ל-rootkits, כגון הסתרת קבצים, תהליכים ויציאות רשת. למרות היכולות המתקדמות הללו, חוקרים לא מצאו ראיות הקושרות פעילות זו לקבוצת תוכנות הכופר ALPHV/BlackCat.
השלכות על UEFI Security ו-Linux Systems
למרות שעדיין מסווגת כהוכחה לקונספט, Bootkitty מסמנת פרק חדש באבולוציה של ערכות האתחול של UEFI, ומרחיבה את טווח ההגעה שלהם מעבר לסביבות Windows. פיתוח זה מדגיש את החשיבות של היערכות לאיומים עתידיים פוטנציאליים במערכות מבוססות לינוקס, אשר נחשבו מזמן פחות פגיעות להתקפות מסוג זה.
עלייתה של Bootkitty גם מדגישה את הצורך באמצעי אבטחה ערניים של המערכת, כגון תחזוקת קושחה מעודכנת, שימוש בתעודות מהימנות והפעלת אתחול מאובטח בכל מקום אפשרי. על ידי הדגמת ההיתכנות של ערכות אתחול של UEFI על לינוקס, Bootkitty משמש קריאת השכמה הן לאנשי מקצוע בתחום אבטחת הסייבר והן למשתמשי לינוקס כדי לחזק את ההגנות שלהם.
