Bootkitty ļaunprātīga programmatūra
Kiberdrošības pētnieki ir atklājuši to, kas tiek raksturots kā pirmo Unified Extensible Firmware Interface (UEFI) sāknēšanas komplektu, kas īpaši paredzēts Linux sistēmām. Šī jaunā izstrāde ar nosaukumu Bootkitty ir būtiskas izmaiņas kiberdraudu vidē, kurā UEFI sāknēšanas komplekti tradicionāli ir saistīti galvenokārt ar Windows platformām.
Satura rādītājs
Bootkitty: koncepcijas pierādījums vai jauni draudi?
Tiek uzskatīts, ka Bootkitty, kas tika atklāts 2024. gada 5. novembrī, ir koncepcijas pierādījums (PoC), nevis aktīvi izvietots drauds. To dēvē arī par IranuKit, pašlaik nav pierādījumu, kas liecinātu par tā izmantošanu reālos uzbrukumos. Sāknēšanas komplektu, ko izveidojis izstrādātājs, kas darbojas ar aizstājvārdu BlackCat, sāknēšanas komplekta galvenais mērķis ir atspējot Linux kodola paraksta verifikāciju, vienlaikus iepriekš ielādējot divus vēl neidentificētus ELF bināros failus Linux inicializācijas procesa laikā. Šis process, kas kalpo par kodola sākumpunktu sistēmas palaišanas laikā, ir ļoti svarīgs Linux darbības drošībai.
UEFI izmantošana operētājsistēmai Linux: jauna riska dimensija
Bootkitty parādīšanās izaicina ilgstošo priekšstatu, ka UEFI sāknēšanas komplekti ir ekskluzīvi Windows sistēmām. Pateicoties šai attīstībai, Linux lietotāji tagad saskaras ar potenciālu jaunu izmantošanas ceļu. Sāknēšanas komplekts izmanto pašparakstītu sertifikātu, lai izpildītu lietderīgo slodzi, kas ierobežo tā funkcionalitāti sistēmās ar iespējotu UEFI Secure Boot. Tomēr tas joprojām varētu darboties, ja uzbrucējiem izdosies savā kontrolē instalēt krāpniecisku sertifikātu.
Papildus drošās sāknēšanas apiešanai, Bootkitty sāknēšanas procesa laikā manipulē ar Linux kodola atmiņu, graujot integritātes pārbaudes. Pirms GNU GRand vienotā sāknēšanas ielādētāja (GRUB) izpildes sāknēšanas komplekts pārtver un izlabo funkcijas, kas ir būtiskas integritātes pārbaudei. Šī daudzslāņu uzbrukuma stratēģija parāda izsmalcinātu izpratni par UEFI un Linux sistēmas iekšējiem elementiem.
Mērķauditorijas atlase pēc drošas sāknēšanas un GRUB: uzlabotas metodes Play
Kad ir iespējota drošā sāknēšana, Bootkitty modificē UEFI autentifikācijas protokolus, lai apietu integritātes pārbaudes. Tas arī izlabo likumīgās GRUB sāknēšanas ielādes funkcijas, lai izvairītos no atklāšanas, vēl vairāk nodrošinot tā spēju izpildīt nedrošas kravas. Šie ielāpi attiecas uz Linux kodola dekompresijas procesu, ļaujot sāknēšanas komplektam palaišanas laikā ielādēt nesankcionētus moduļus.
Lai atvieglotu uzbrukumu, Bootkitty maina vides mainīgo LD_PRELOAD. Šī korekcija liek Linux inicializācijas procesam ielādēt divus nezināmus ELF koplietotus objektus, kas identificēti kā “/opt/injector.so” un “/init”, tādējādi paplašinot sāknēšanas komplekta pieejamību sistēmas darbībās.
BCDropper un BCObserver: lielāka sistēma?
Bootkitty izpēte ir atklājusi potenciāli saistītu neparakstītu kodola moduli ar nosaukumu BCDropper. Šis modulis spēj izvietot ELF bināro failu ar nosaukumu BCObserver, kas, savukārt, sistēmas startēšanas laikā ielādē citu neidentificētu kodola moduli. Šis papildu modulis, kas darbojas ar vienu un to pašu BlackCat pseidonīmu, nodrošina sakņu komplektiem raksturīgas funkcijas, piemēram, failu, procesu un tīkla portu slēpšanu. Neskatoties uz šīm uzlabotajām iespējām, pētnieki nav atraduši pierādījumus, kas saistītu šo darbību ar ALPHV/BlackCat izspiedējvīrusu grupu.
Ietekme uz UEFI drošību un Linux sistēmām
Lai gan Bootkitty joprojām tiek klasificēts kā koncepcijas pierādījums, tas liecina par jaunu nodaļu UEFI sāknēšanas komplektu attīstībā, paplašinot to sasniedzamību ārpus Windows vidēm. Šī attīstība uzsver, cik svarīgi ir sagatavoties iespējamiem nākotnes draudiem uz Linux balstītajās sistēmās, kuras jau sen tiek uzskatītas par mazāk neaizsargātām pret šādiem uzbrukumiem.
Bootkitty pieaugums arī uzsver nepieciešamību pēc modriem sistēmas drošības pasākumiem, piemēram, uzturēt atjauninātu programmaparatūru, izmantot uzticamus sertifikātus un iespējot drošo sāknēšanu, kur vien iespējams. Demonstrējot UEFI sāknēšanas komplektu iespējamību operētājsistēmā Linux, Bootkitty kalpo kā trauksmes zvans gan kiberdrošības profesionāļiem, gan Linux lietotājiem, lai stiprinātu savu aizsardzību.
