बूटकिट्टी मैलवेयर
साइबर सुरक्षा शोधकर्ताओं ने ऐसा पहला यूनिफाइड एक्सटेंसिबल फ़र्मवेयर इंटरफ़ेस (UEFI) बूटकिट पेश किया है जिसे खास तौर पर Linux सिस्टम को लक्षित करने के लिए डिज़ाइन किया गया है। बूटकिट्टी नाम का यह नया विकास साइबर खतरे के परिदृश्य में एक महत्वपूर्ण बदलाव का प्रतिनिधित्व करता है, जिसमें परंपरागत रूप से UEFI बूटकिट को मुख्य रूप से Windows प्लेटफ़ॉर्म से जुड़ा हुआ देखा गया है।
विषयसूची
बूटकिट्टी: अवधारणा का प्रमाण या उभरता हुआ खतरा?
5 नवंबर, 2024 को उजागर हुए बूटकिटी को सक्रिय रूप से तैनात खतरे के बजाय एक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) माना जाता है। इसे इरानुकिट के रूप में भी जाना जाता है, वर्तमान में वास्तविक दुनिया के हमलों में इसके उपयोग का सुझाव देने के लिए कोई सबूत नहीं है। ब्लैककैट के नाम से काम करने वाले एक डेवलपर द्वारा निर्मित, बूटकिट का प्राथमिक उद्देश्य लिनक्स आरंभीकरण प्रक्रिया के दौरान दो अभी तक अज्ञात ELF बाइनरी को प्रीलोड करते हुए लिनक्स कर्नेल हस्ताक्षर सत्यापन को अक्षम करना है। यह प्रक्रिया, जो सिस्टम स्टार्टअप के दौरान कर्नेल के शुरुआती बिंदु के रूप में कार्य करती है, लिनक्स की परिचालन सुरक्षा के लिए महत्वपूर्ण है।
लिनक्स के लिए UEFI का उपयोग: जोखिम का एक नया आयाम
बूटकिट्टी के उद्भव ने लंबे समय से चली आ रही इस धारणा को चुनौती दी है कि UEFI बूटकिट केवल विंडोज सिस्टम के लिए ही हैं। इस विकास के साथ, लिनक्स उपयोगकर्ताओं को अब शोषण के संभावित नए रास्ते का सामना करना पड़ रहा है। बूटकिट अपने पेलोड को निष्पादित करने के लिए एक स्व-हस्ताक्षरित प्रमाणपत्र का लाभ उठाता है, जो UEFI सिक्योर बूट सक्षम सिस्टम पर इसकी कार्यक्षमता को सीमित करता है। हालाँकि, यह तब भी काम कर सकता है जब हमलावर अपने नियंत्रण में एक धोखाधड़ी प्रमाणपत्र स्थापित करने में कामयाब हो जाते हैं।
सिक्योर बूट को बायपास करने के अलावा, बूटकिट्टी बूट प्रक्रिया के दौरान लिनक्स कर्नेल की मेमोरी में हेरफेर करता है, जिससे अखंडता जांच कमजोर हो जाती है। GNU GRand यूनिफाइड बूटलोडर (GRUB) के निष्पादित होने से पहले, बूटकिट अखंडता सत्यापन के लिए महत्वपूर्ण कार्यों को रोकता है और पैच करता है। यह बहु-स्तरित हमला रणनीति UEFI और Linux सिस्टम आंतरिक की परिष्कृत समझ को प्रदर्शित करती है।
सुरक्षित बूट और GRUB को लक्ष्य बनाना: खेल में उन्नत तकनीकें
जब सुरक्षित बूट सक्षम होता है, तो बूटकिटी अखंडता जांच को बायपास करने के लिए UEFI प्रमाणीकरण प्रोटोकॉल को संशोधित करता है। यह पहचान से बचने के लिए वैध GRUB बूटलोडर फ़ंक्शन को भी पैच करता है, जिससे असुरक्षित पेलोड को निष्पादित करने की इसकी क्षमता सुनिश्चित होती है। ये पैच लिनक्स कर्नेल की डीकंप्रेसन प्रक्रिया तक विस्तारित होते हैं, जिससे बूटकिट स्टार्टअप के दौरान अनधिकृत मॉड्यूल लोड करने में सक्षम होता है।
अपने हमले को सुविधाजनक बनाने के लिए, बूटकिटी पर्यावरण चर LD_PRELOAD को बदल देता है। यह समायोजन लिनक्स आरंभीकरण प्रक्रिया को दो अज्ञात ELF साझा ऑब्जेक्ट्स को लोड करने के लिए मजबूर करता है - जिन्हें '/opt/injector.so' और '/init' के रूप में पहचाना जाता है - जिससे बूटकिट की पहुंच सिस्टम संचालन में बढ़ जाती है।
बीसीड्रॉपर और बीसीओब्सर्वर: एक बड़ा ढांचा?
बूटकिट्टी में शोध ने संभावित रूप से संबंधित अहस्ताक्षरित कर्नेल मॉड्यूल BCDropper का पता लगाया है। यह मॉड्यूल BCObserver नामक ELF बाइनरी को तैनात करने में सक्षम है, जो बदले में, सिस्टम स्टार्टअप पर एक और अज्ञात कर्नेल मॉड्यूल लोड करता है। उसी ब्लैककैट छद्म नाम के तहत काम करते हुए, यह अतिरिक्त मॉड्यूल रूटकिट की विशिष्ट कार्यक्षमताओं को प्रदर्शित करता है, जैसे कि फ़ाइलें, प्रक्रियाएँ और नेटवर्क पोर्ट छिपाना। इन उन्नत क्षमताओं के बावजूद, शोधकर्ताओं को इस गतिविधि को ALPHV/BlackCat रैनसमवेयर समूह से जोड़ने का कोई सबूत नहीं मिला है।
UEFI सुरक्षा और लिनक्स सिस्टम के लिए निहितार्थ
हालाँकि अभी भी इसे अवधारणा के प्रमाण के रूप में वर्गीकृत किया गया है, बूटकिट्टी UEFI बूटकिट्स के विकास में एक नए अध्याय का संकेत देता है, जो विंडोज वातावरण से परे उनकी पहुँच का विस्तार करता है। यह विकास लिनक्स-आधारित प्रणालियों में संभावित भविष्य के खतरों के लिए तैयारी के महत्व को रेखांकित करता है, जिन्हें लंबे समय से ऐसे हमलों के लिए कम संवेदनशील माना जाता है।
बूटकिट्टी का उदय सतर्क सिस्टम सुरक्षा उपायों की आवश्यकता को भी उजागर करता है, जैसे कि अपडेट किए गए फ़र्मवेयर को बनाए रखना, विश्वसनीय प्रमाणपत्रों का उपयोग करना और जहाँ भी संभव हो सुरक्षित बूट को सक्षम करना। लिनक्स पर यूईएफआई बूटकिट्स की व्यवहार्यता का प्रदर्शन करके, बूटकिट्टी साइबर सुरक्षा पेशेवरों और लिनक्स उपयोगकर्ताओं दोनों के लिए अपनी सुरक्षा को मजबूत करने के लिए एक चेतावनी के रूप में कार्य करता है।
