សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង មេរោគ មេរោគ Bootkitty

មេរោគ Bootkitty

ដោយ Mezo ក្នុង មេរោគ, Rootkits
បកប្រែទៅ៖
ភាសាខ្មែរ

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានបង្ហាញនូវអ្វីដែលត្រូវបានពិពណ៌នាថាជា Unified Extensible Firmware Interface (UEFI) bootkit ដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីកំណត់គោលដៅប្រព័ន្ធលីនុច។ ការអភិវឌ្ឍន៍ថ្មីនេះមានឈ្មោះថា Bootkitty តំណាងឱ្យការផ្លាស់ប្តូរដ៏សំខាន់នៅក្នុងទិដ្ឋភាពការគំរាមកំហែងតាមអ៊ីនធឺណិត ដែលធ្លាប់ឃើញជាប្រពៃណី UEFI bootkits ត្រូវបានផ្សារភ្ជាប់យ៉ាងខ្លាំងជាមួយនឹងប្រព័ន្ធប្រតិបត្តិការ Windows ។

Bootkitty: ភស្តុតាងនៃគំនិតឬការគំរាមកំហែងដែលកំពុងកើតមាន?

រកឃើញនៅថ្ងៃទី 5 ខែវិច្ឆិកា ឆ្នាំ 2024 Bootkitty ត្រូវបានគេជឿថាជា Proof-of-Concept (PoC) ជាជាងការគំរាមកំហែងដែលបានដាក់ពង្រាយយ៉ាងសកម្ម។ ត្រូវបានគេហៅផងដែរថាជា IranuKit បច្ចុប្បន្ននេះមិនមានភស្តុតាងណាមួយដើម្បីណែនាំការប្រើប្រាស់របស់វានៅក្នុងការវាយប្រហារលើពិភពពិតនោះទេ។ បង្កើតឡើងដោយអ្នកអភិវឌ្ឍន៍ដែលដំណើរការក្រោមឈ្មោះហៅក្រៅ BlackCat គោលបំណងចម្បងរបស់ bootkit គឺបិទការផ្ទៀងផ្ទាត់ហត្ថលេខាខឺណែលលីនុច ខណៈពេលដែលកំពុងផ្ទុកប្រព័ន្ធគោលពីរ ELF ដែលមិនស្គាល់អត្តសញ្ញាណជាមុនចំនួនពីរក្នុងអំឡុងពេលដំណើរការចាប់ផ្តើមលីនុច។ ដំណើរការនេះ ដែលបម្រើជាចំណុចចាប់ផ្តើមរបស់ខឺណែលកំឡុងពេលចាប់ផ្តើមប្រព័ន្ធ គឺមានសារៈសំខាន់ចំពោះសុវត្ថិភាពប្រតិបត្តិការរបស់លីនុច។

ការទាញយក UEFI សម្រាប់លីនុច៖ វិមាត្រថ្មីនៃហានិភ័យ

ការលេចឡើងនៃ Bootkitty ប្រឈមនឹងការយល់ឃើញជាយូរមកហើយដែលថា UEFI bootkits គឺផ្តាច់មុខសម្រាប់ប្រព័ន្ធវីនដូ។ ជាមួយនឹងការអភិវឌ្ឍន៍នេះ អ្នកប្រើប្រាស់លីនុចឥឡូវនេះប្រឈមមុខនឹងផ្លូវថ្មីនៃការកេងប្រវ័ញ្ច។ bootkit ប្រើប្រាស់វិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង ដើម្បីដំណើរការបន្ទុករបស់វា ដែលកំណត់មុខងាររបស់វានៅលើប្រព័ន្ធដែលមាន UEFI Secure Boot ត្រូវបានបើក។ ទោះជាយ៉ាងណាក៏ដោយ វានៅតែអាចដំណើរការបាន ប្រសិនបើអ្នកវាយប្រហារគ្រប់គ្រងការដំឡើងវិញ្ញាបនបត្រក្លែងបន្លំនៅក្រោមការគ្រប់គ្រងរបស់ពួកគេ។

លើសពីការរំលង Secure Boot, Bootkitty រៀបចំអង្គចងចាំរបស់ Linux ខឺណែលកំឡុងពេលដំណើរការចាប់ផ្ដើម ដោយធ្វើឱ្យខូចការត្រួតពិនិត្យភាពត្រឹមត្រូវ។ មុនពេល GNU GRand Unified Bootloader (GRUB) ត្រូវបានប្រតិបត្តិនោះ bootkit ស្ទាក់ចាប់ និងបំណះមុខងារដែលសំខាន់ចំពោះការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។ យុទ្ធសាស្ត្រវាយប្រហារពហុស្រទាប់នេះបង្ហាញពីការយល់ដឹងដ៏ស្មុគ្រស្មាញនៃ UEFI និងប្រព័ន្ធលីនុចខាងក្នុង។

ការកំណត់គោលដៅសុវត្ថិភាព Boot និង GRUB៖ បច្ចេកទេសកម្រិតខ្ពស់នៅក្នុង Play

នៅពេលដែល Secure Boot ត្រូវបានបើកដំណើរការ Bootkitty កែប្រែពិធីការផ្ទៀងផ្ទាត់ UEFI ដើម្បីរំលងការត្រួតពិនិត្យភាពត្រឹមត្រូវ។ វាក៏បំប្លែងមុខងារ GRUB bootloader ស្របច្បាប់ផងដែរ ដើម្បីជៀសវាងការរកឃើញ ដែលធានាបន្ថែមទៀតនូវសមត្ថភាពរបស់វាក្នុងការប្រតិបត្តិបន្ទុកដែលមិនមានសុវត្ថិភាព។ បំណះទាំងនេះពង្រីកដល់ដំណើរការបង្រួមខឺណែលលីនុច ដែលអនុញ្ញាតឱ្យ bootkit ផ្ទុកម៉ូឌុលដែលមិនមានការអនុញ្ញាតអំឡុងពេលចាប់ផ្តើម។

ដើម្បីជួយសម្រួលដល់ការវាយប្រហាររបស់វា Bootkitty ផ្លាស់ប្តូរអថេរបរិស្ថាន LD_PRELOAD ។ ការកែតម្រូវនេះបង្ខំឱ្យដំណើរការចាប់ផ្តើមលីនុចដើម្បីផ្ទុកវត្ថុចែករំលែក ELF ដែលមិនស្គាល់ចំនួនពីរដែលត្រូវបានកំណត់ថាជា '/opt/injector.so' និង '/init-ដោយហេតុនេះ' ពង្រីកការឈានដល់របស់ bootkit ទៅក្នុងប្រតិបត្តិការប្រព័ន្ធ។

BCDropper និង BCObserver: ក្របខ័ណ្ឌធំជាង?

ការស្រាវជ្រាវលើ Bootkitty បានរកឃើញម៉ូឌុលខឺណែលដែលមិនបានចុះហត្ថលេខាដែលទាក់ទងគ្នាដែលមានឈ្មោះ BCDropper ។ ម៉ូឌុលនេះមានសមត្ថភាពដាក់ពង្រាយប្រព័ន្ធគោលពីរ ELF ដែលហៅថា BCObserver ដែលបន្ទាប់មកផ្ទុកម៉ូឌុលខឺណែលមិនស្គាល់អត្តសញ្ញាណមួយផ្សេងទៀតនៅពេលចាប់ផ្តើមប្រព័ន្ធ។ ដំណើរការក្រោមឈ្មោះក្លែងក្លាយ BlackCat ដូចគ្នា ម៉ូឌុលបន្ថែមនេះបង្ហាញមុខងារធម្មតានៃ rootkits ដូចជាលាក់ឯកសារ ដំណើរការ និងច្រកបណ្តាញ។ ទោះបីជាសមត្ថភាពកម្រិតខ្ពស់ទាំងនេះក៏ដោយ អ្នកស្រាវជ្រាវមិនបានរកឃើញភស្តុតាងណាមួយដែលភ្ជាប់សកម្មភាពនេះទៅនឹងក្រុម ALPHV/BlackCat ransomware នោះទេ។

ផលប៉ះពាល់សម្រាប់ UEFI Security និងប្រព័ន្ធលីនុច

ទោះបីជានៅតែត្រូវបានចាត់ថ្នាក់ជាភស្តុតាងនៃគំនិតក៏ដោយ ក៏ Bootkitty ផ្តល់សញ្ញាដល់ជំពូកថ្មីក្នុងការវិវត្តន៍នៃ UEFI bootkits ដែលពង្រីកវិសាលភាពរបស់ពួកគេលើសពីបរិស្ថាន Windows ។ ការអភិវឌ្ឍន៍នេះគូសបញ្ជាក់ពីសារៈសំខាន់នៃការរៀបចំសម្រាប់ការគំរាមកំហែងនាពេលអនាគតដែលមានសក្តានុពលនៅក្នុងប្រព័ន្ធដែលមានមូលដ្ឋានលើលីនុច ដែលត្រូវបានគេចាត់ទុកថាមិនសូវងាយរងគ្រោះចំពោះការវាយប្រហារបែបនេះ។

ការកើនឡើងនៃ Bootkitty ក៏បង្ហាញពីតម្រូវការសម្រាប់វិធានការសុវត្ថិភាពប្រព័ន្ធដែលប្រុងប្រយ័ត្ន ដូចជាការរក្សាកម្មវិធីបង្កប់ដែលបានធ្វើបច្ចុប្បន្នភាព ការប្រើប្រាស់វិញ្ញាបនបត្រដែលអាចទុកចិត្តបាន និងការបើកដំណើរការ Secure Boot នៅគ្រប់ទីកន្លែងដែលអាចធ្វើទៅបាន។ តាមរយៈការបង្ហាញលទ្ធភាពនៃ UEFI bootkits នៅលើលីនុច Bootkitty ដើរតួជាការដាស់តឿនសម្រាប់ទាំងអ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិត និងអ្នកប្រើប្រាស់ Linux ដើម្បីបង្កើនការការពាររបស់ពួកគេ។

និន្នាការ

Arcus Ransomware

Ransomware
ការរក្សាបាននូវសុវត្ថិភាពតាមអ៊ីនធឺណិតដ៏រឹងមាំគឺចាំបាច់នៅពេលដែលការគំរាមកំហែងដូចជា ransomware បន្តវិវត្ត។ ការគំរាមកំហែងដ៏ស្មុគ្រស្មាញមួយដែលត្រូវបានវិភាគដោយអ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិតនាពេលថ្មីៗនេះគឺ...

ការបោកប្រាស់ ClaimTokens

គេហទំព័រក្លែងក្លាយ
ប្រតិបត្តិការឌីជីថលគឺជារឿងធម្មតាកាន់តែខ្លាំងឡើងនាពេលបច្ចុប្បន្ននេះ ដូច្នេះអ្នកប្រើប្រាស់ត្រូវតែមានការប្រុងប្រយ័ត្ននៅពេលរុករកតាមអ៊ីនធឺណិត...

Guardflares.com

គេហទំព័រក្លែងក្លាយ, ចោរប្លន់កម្មវិធីរុករក, កម្មវិធីដែលមិនចង់បានសក្តានុពល
ការប្រុងប្រយ័ត្នគឺចាំបាច់នៅក្នុងទិដ្ឋភាពឌីជីថលដែលវិវត្តន៍ឥតឈប់ឈរ។ គេហទំព័រដែលមានចេតនាបោកបញ្ឆោត ជារឿយៗត្រូវបានផ្សព្វផ្សាយដោយកម្មវិធីរំខាន បង្កការគំរាមកំហែងយ៉ាងសំខាន់ចំពោះឯកជនភាព...

មើលច្រើនបំផុត

'iPhone របស់អ្នកត្រូវបាន Hack' លេចឡើង

Adware
34,633
ដោយសារបច្ចេកវិទ្យាត្រូវបានដាក់បញ្ចូលទៅក្នុងជីវិតប្រចាំថ្ងៃរបស់យើងយ៉ាងខ្លាំង ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងស្វែងរកវិធីថ្មីដើម្បីទាញយកភាពងាយរងគ្រោះសម្រាប់ចេតនាព្យាបាទរបស់ពួកគេ។...

'ប្រសិនបើអ្នកមានអាយុ 18 ឆ្នាំ ប៉ះអនុញ្ញាត'

សារព្រមានក្លែងក្លាយ
26,838
'ប្រសិនបើអ្នកមានអាយុ 18 ឆ្នាំ ប៉ះអនុញ្ញាត' ការលេចឡើងគឺជាប្រភេទនៃការផ្សាយពាណិជ្ជកម្មលេចឡើងដែលលេចឡើងនៅលើអេក្រង់របស់អ្នកប្រើនៅពេលរុករកអ៊ីនធឺណិត។ ការលេចឡើងទាំងនេះអាចបង្កការភ្ញាក់ផ្អើលយ៉ាងខ្លាំងដល់អ្នកប្រើប្រាស់ ដោយសារពួកគេជំរុញឱ្យពួកគេចុចលើប៊ូតុង "អនុញ្ញាត" ដើម្បីបន្តប្រើប្រាស់គេហទំព័រដែលពួកគេកំពុងប្រើបច្ចុប្បន្ន។ ការលេចឡើងទាំងនេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងកម្មវិធីដែលមិនចង់បានដូចជា Adware...
កំពុង​ផ្ទុក...