Bootkitty kenkėjiška programa
Kibernetinio saugumo tyrinėtojai atskleidė tai, kas apibūdinama kaip pirmasis Unified Extensible Firmware Interface (UEFI) įkrovos rinkinys, specialiai sukurtas Linux sistemoms. Ši nauja plėtra, pavadinta „Bootkitty“, reiškia reikšmingą kibernetinės grėsmės kraštovaizdžio pokytį, kai tradiciškai UEFI įkrovos rinkiniai dažniausiai siejami su „Windows“ platformomis.
Turinys
Bootkitty: koncepcijos įrodymas ar kylanti grėsmė?
Manoma, kad 2024 m. lapkričio 5 d. atskleista „Bootkitty“ yra koncepcijos įrodymas (PoC), o ne aktyviai naudojama grėsmė. Taip pat vadinamas IranuKit, šiuo metu nėra jokių įrodymų, rodančių, kad jis būtų naudojamas realaus pasaulio išpuoliams. Sukurtas kūrėjo, veikiančio slapyvardžiu „BlackCat“, pagrindinis įkrovos rinkinio tikslas yra išjungti „Linux“ branduolio parašo tikrinimą, iš anksto įkeliant du dar neatpažintus ELF dvejetainius failus „Linux“ inicijavimo proceso metu. Šis procesas, kuris yra branduolio pradžios taškas sistemos paleidimo metu, yra labai svarbus Linux veikimo saugumui.
UEFI naudojimas Linux sistemoje: naujas rizikos aspektas
„Bootkitty“ atsiradimas meta iššūkį ilgalaikiam suvokimui, kad UEFI įkrovos rinkiniai yra išskirtiniai „Windows“ sistemoms. Vykdydami šią plėtrą, „Linux“ vartotojai dabar susiduria su galimu nauju išnaudojimo būdu. Įkrovos rinkinys naudoja savarankiškai pasirašytą sertifikatą, kad galėtų vykdyti naudingąją apkrovą, o tai riboja jo funkcionalumą sistemose, kuriose įjungtas UEFI saugus įkrovimas. Tačiau jis vis tiek gali veikti, jei užpuolikams pavyks įdiegti apgaulingą sertifikatą, kurį jie valdo.
„Bootkitty“ ne tik aplenkia saugų įkrovą, bet ir manipuliuoja „Linux“ branduolio atmintimi įkrovos proceso metu, pažeidžiant vientisumo patikrinimus. Prieš paleidžiant GNU GRand Unified Bootloader (GRUB), įkrovos rinkinys perima ir pataiso funkcijas, kurios yra labai svarbios norint patikrinti vientisumą. Ši daugiasluoksnė atakos strategija parodo sudėtingą UEFI ir Linux sistemos vidinių ypatybių supratimą.
Taikymas į saugų paleidimą ir GRUB: pažangūs žaidimo metodai
Kai įjungtas saugus įkrovimas, Bootkitty modifikuoja UEFI autentifikavimo protokolus, kad apeitų vientisumo patikras. Jis taip pat pataiso teisėtas GRUB įkrovos įkrovos funkcijas, kad būtų išvengta aptikimo ir toliau užtikrinama galimybė vykdyti nesaugias naudingas apkrovas. Šios pataisos apima Linux branduolio išskleidimo procesą, leidžiantį įkrovos rinkiniui paleisties metu įkelti neleistinus modulius.
Siekdama palengvinti ataką, „Bootkitty“ pakeičia aplinkos kintamąjį LD_PRELOAD. Šis koregavimas verčia „Linux“ inicijavimo procesą įkelti du nežinomus ELF bendrinamus objektus, identifikuojamus kaip „/opt/injector.so“ ir „/init“, taip praplečiant įkrovos rinkinio pasiekiamumą sistemos operacijoms.
BCDropper ir BCObserver: didesnė sistema?
„Bootkitty“ tyrimas atskleidė potencialiai susijusį nepasirašytą branduolio modulį, pavadintą BCDropper. Šis modulis gali įdiegti ELF dvejetainį failą, vadinamą BCObserver, kuris savo ruožtu įkelia kitą neatpažintą branduolio modulį paleidus sistemą. Šis papildomas modulis, veikiantis tuo pačiu BlackCat pseudonimu, pasižymi rootkitams būdingomis funkcijomis, tokiomis kaip failų, procesų ir tinklo prievadų slėpimas. Nepaisant šių pažangių galimybių, mokslininkai nerado jokių įrodymų, siejančių šią veiklą su ALPHV/BlackCat išpirkos programų grupe.
Poveikis UEFI saugai ir Linux sistemoms
Nors „Bootkitty“ vis dar priskiriama koncepcijos įrodymo kategorijai, ji rodo naują UEFI įkrovos rinkinių evoliucijos skyrių, išplečiant jų pasiekiamumą ne tik „Windows“ aplinkoje. Ši plėtra pabrėžia, kaip svarbu pasiruošti galimoms būsimoms grėsmėms Linux pagrindu veikiančiose sistemose, kurios ilgą laiką buvo laikomos mažiau pažeidžiamomis tokioms atakoms.
„Bootkitty“ atsiradimas taip pat išryškina budrių sistemos saugos priemonių poreikį, pvz., palaikyti atnaujintą programinę-aparatinę įrangą, naudoti patikimus sertifikatus ir, kur tik įmanoma, įjungti saugų įkrovą. Parodydama UEFI įkrovos rinkinių „Linux“ pagrįstumą, „Bootkitty“ yra pažadinimo skambutis ir kibernetinio saugumo specialistams, ir „Linux“ naudotojams, siekiant sustiprinti savo apsaugą.
