Bootkitty Malware
Penyelidik keselamatan siber telah mendedahkan apa yang disifatkan sebagai kit but Antara Muka Perisian Tegar Boleh Diperluas Bersepadu (UEFI) pertama yang direka khusus untuk menyasarkan sistem Linux. Perkembangan baharu ini, yang dinamakan Bootkitty, mewakili perubahan ketara dalam landskap ancaman siber, yang secara tradisinya menyaksikan kit but UEFI dikaitkan dengan platform Windows.
Isi kandungan
Bootkitty: Bukti Konsep atau Ancaman Muncul?
Dibongkar pada 5 November 2024, Bootkitty dipercayai sebagai Bukti Konsep (PoC) dan bukannya ancaman yang digunakan secara aktif. Juga dirujuk sebagai IranuKit, pada masa ini tiada bukti untuk mencadangkan penggunaannya dalam serangan dunia sebenar. Dicipta oleh pembangun yang beroperasi di bawah alias BlackCat, matlamat utama bootkit adalah untuk melumpuhkan pengesahan tandatangan kernel Linux sambil pramuat dua binari ELF yang belum dikenal pasti semasa proses pemulaan Linux. Proses ini, yang berfungsi sebagai titik permulaan kernel semasa permulaan sistem, adalah penting untuk keselamatan operasi Linux.
Memanfaatkan UEFI untuk Linux: Dimensi Baru Risiko
Kemunculan Bootkitty mencabar persepsi lama bahawa bootkit UEFI adalah eksklusif untuk sistem Windows. Dengan perkembangan ini, pengguna Linux kini menghadapi peluang eksploitasi baharu yang berpotensi. Bootkit memanfaatkan sijil yang ditandatangani sendiri untuk melaksanakan muatannya, yang mengehadkan fungsinya pada sistem dengan UEFI Secure Boot didayakan. Walau bagaimanapun, ia masih boleh beroperasi jika penyerang berjaya memasang sijil penipuan di bawah kawalan mereka.
Selain memintas Secure Boot, Bootkitty memanipulasi memori kernel Linux semasa proses but, menjejaskan pemeriksaan integriti. Sebelum GNU GRand Unified Bootloader (GRUB) dilaksanakan, bootkit memintas dan menampal berfungsi penting untuk pengesahan integriti. Strategi serangan berbilang lapisan ini menunjukkan pemahaman yang canggih tentang dalaman sistem UEFI dan Linux.
Menyasarkan Boot Selamat dan GRUB: Teknik Lanjutan dalam Play
Apabila Boot Selamat didayakan, Bootkitty mengubah suai protokol pengesahan UEFI untuk memintas pemeriksaan integriti. Ia juga menampal fungsi pemuat but GRUB yang sah untuk mengelakkan pengesanan, seterusnya memastikan keupayaannya untuk melaksanakan muatan yang tidak selamat. Tampalan ini dilanjutkan ke proses penyahmampatan kernel Linux, membolehkan bootkit memuatkan modul yang tidak dibenarkan semasa permulaan.
Untuk memudahkan serangannya, Bootkitty mengubah pembolehubah persekitaran LD_PRELOAD. Pelarasan ini memaksa proses permulaan Linux untuk memuatkan dua objek kongsi ELF yang tidak diketahui—yang dikenal pasti sebagai '/opt/injector.so' dan '/init—dengan itu' memperluaskan capaian bootkit ke dalam operasi sistem.
BCDropper dan BCObserver: Rangka Kerja yang Lebih Besar?
Penyelidikan ke dalam Bootkitty telah menemui modul kernel tidak ditandatangani yang berpotensi berkaitan bernama BCDropper. Modul ini mampu menggunakan binari ELF yang dipanggil BCObserver, yang seterusnya, memuatkan modul kernel lain yang tidak dikenali semasa sistem dimulakan. Beroperasi di bawah nama samaran BlackCat yang sama, modul tambahan ini mempamerkan fungsi tipikal rootkit, seperti menyembunyikan fail, proses dan port rangkaian. Walaupun keupayaan canggih ini, penyelidik tidak menemui bukti yang mengaitkan aktiviti ini dengan kumpulan perisian tebusan ALPHV/BlackCat.
Implikasi untuk Keselamatan UEFI dan Sistem Linux
Walaupun masih dikategorikan sebagai bukti konsep, Bootkitty menandakan babak baharu dalam evolusi kit but UEFI, meluaskan jangkauannya melangkaui persekitaran Windows. Perkembangan ini menggariskan pentingnya persediaan menghadapi potensi ancaman masa depan dalam sistem berasaskan Linux, yang telah lama dianggap kurang terdedah kepada serangan sedemikian.
Kebangkitan Bootkitty juga menyerlahkan keperluan untuk langkah keselamatan sistem yang berwaspada, seperti mengekalkan perisian tegar yang dikemas kini, menggunakan sijil yang dipercayai dan mendayakan Boot Selamat di mana mungkin. Dengan menunjukkan kebolehlaksanaan bootkit UEFI pada Linux, Bootkitty berfungsi sebagai panggilan bangun untuk kedua-dua profesional keselamatan siber dan pengguna Linux untuk mengukuhkan pertahanan mereka.
