Bootkitty skadelig programvare
Cybersikkerhetsforskere har avduket det som blir beskrevet som tidenes første Unified Extensible Firmware Interface (UEFI) bootkit spesielt utviklet for å målrette Linux-systemer. Denne nye utviklingen, kalt Bootkitty, representerer et betydelig skifte i cybertrussellandskapet, som tradisjonelt sett har sett at UEFI bootkits hovedsakelig er assosiert med Windows-plattformer.
Innholdsfortegnelse
Bootkitty: Proof-of-Concept eller fremvoksende trussel?
Bootkitty ble avdekket 5. november 2024, og antas å være en Proof-of-Concept (PoC) snarere enn en aktivt utplassert trussel. Også referert til som IranuKit, er det foreløpig ingen bevis som tyder på bruken i virkelige angrep. Oppstartssettets primære mål er opprettet av en utvikler som opererer under aliaset BlackCat, og er å deaktivere Linux-kjernens signaturverifisering mens du forhåndsinnlaster to ennå uidentifiserte ELF-binærfiler under Linux-initieringsprosessen. Denne prosessen, som fungerer som kjernens utgangspunkt under oppstart av systemet, er avgjørende for Linuxs driftssikkerhet.
Utnyttelse av UEFI for Linux: En ny dimensjon av risiko
Fremveksten av Bootkitty utfordrer den mangeårige oppfatningen om at UEFI-bootkits er eksklusive for Windows-systemer. Med denne utviklingen står Linux-brukere nå overfor en potensiell ny mulighet for utnyttelse. Oppstartssettet bruker et selvsignert sertifikat for å utføre nyttelasten, noe som begrenser funksjonaliteten på systemer med UEFI Secure Boot aktivert. Det kan imidlertid fortsatt fungere hvis angripere klarer å installere et uredelig sertifikat under deres kontroll.
Utover å omgå sikker oppstart, manipulerer Bootkitty Linux-kjernens minne under oppstartsprosessen, og undergraver integritetssjekker. Før GNU GRand Unified Bootloader (GRUB) kjøres, fanger oppstartssettet opp og patcher funksjoner som er kritiske for integritetsverifisering. Denne flerlags angrepsstrategien demonstrerer en sofistikert forståelse av UEFI- og Linux-systemer.
Målretting mot sikker oppstart og GRUB: Avanserte teknikker i spill
Når sikker oppstart er aktivert, endrer Bootkitty UEFI-autentiseringsprotokoller for å omgå integritetskontroller. Den lapper også legitime GRUB-oppstartslasterfunksjoner for å unngå gjenkjenning, og sikrer dens evne til å utføre usikre nyttelaster. Disse oppdateringene strekker seg til Linux-kjernens dekompresjonsprosess, og gjør det mulig for oppstartssettet å laste uautoriserte moduler under oppstart.
For å lette angrepet endrer Bootkitty miljøvariabelen LD_PRELOAD. Denne justeringen tvinger Linux-initieringsprosessen til å laste to ukjente ELF-delte objekter – identifisert som '/opt/injector.so' og '/init – og dermed utvide oppstartssettets rekkevidde til systemoperasjoner.
BCDropper og BCObserver: A Larger Framework?
Forskningen på Bootkitty har avdekket en potensielt relatert usignert kjernemodul kalt BCDropper. Denne modulen er i stand til å distribuere en ELF-binær kalt BCObserver, som igjen laster en annen uidentifisert kjernemodul ved systemoppstart. Denne tilleggsmodulen, som opererer under samme BlackCat-pseudonym, viser funksjoner som er typiske for rootkits, som å skjule filer, prosesser og nettverksporter. Til tross for disse avanserte egenskapene, har forskere ikke funnet noen bevis som knytter denne aktiviteten til ALPHV/BlackCat løsepengevaregruppen.
Implikasjoner for UEFI Security og Linux-systemer
Selv om det fortsatt er kategorisert som et proof-of-concept, signaliserer Bootkitty et nytt kapittel i utviklingen av UEFI-bootkits, og utvider deres rekkevidde utover Windows-miljøer. Denne utviklingen understreker viktigheten av å forberede seg på potensielle fremtidige trusler i Linux-baserte systemer, som lenge har vært ansett som mindre sårbare for slike angrep.
Fremveksten av Bootkitty fremhever også behovet for årvåkne systemsikkerhetstiltak, som å opprettholde oppdatert firmware, bruke pålitelige sertifikater og aktivere sikker oppstart der det er mulig. Ved å demonstrere gjennomførbarheten av UEFI bootkits på Linux, fungerer Bootkitty som en vekker for både cybersikkerhetseksperter og Linux-brukere for å styrke forsvaret sitt.
