ਬੂਟਕਿੱਟੀ ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਉਸ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ ਜਿਸ ਨੂੰ ਪਹਿਲੀ ਵਾਰ ਯੂਨੀਫਾਈਡ ਐਕਸਟੈਂਸੀਬਲ ਫਰਮਵੇਅਰ ਇੰਟਰਫੇਸ (UEFI) ਬੂਟਕਿੱਟ ਵਜੋਂ ਦਰਸਾਇਆ ਜਾ ਰਿਹਾ ਹੈ ਜੋ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਲੀਨਕਸ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਬੂਟਕਿੱਟੀ ਨਾਮ ਦਾ ਇਹ ਨਵਾਂ ਵਿਕਾਸ, ਸਾਈਬਰ ਖਤਰੇ ਦੇ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਬਦੀਲੀ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, ਜਿਸ ਨੇ ਰਵਾਇਤੀ ਤੌਰ 'ਤੇ ਯੂਈਐਫਆਈ ਬੂਟਕਿੱਟਾਂ ਨੂੰ ਮੁੱਖ ਤੌਰ 'ਤੇ ਵਿੰਡੋਜ਼ ਪਲੇਟਫਾਰਮਾਂ ਨਾਲ ਜੋੜਿਆ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਬੂਟਕਿੱਟੀ: ਸੰਕਲਪ ਦਾ ਸਬੂਤ ਜਾਂ ਉਭਰਦਾ ਖ਼ਤਰਾ?
5 ਨਵੰਬਰ, 2024 ਨੂੰ ਖੋਲ੍ਹਿਆ ਗਿਆ, ਬੂਟਕਿੱਟੀ ਨੂੰ ਇੱਕ ਸਰਗਰਮੀ ਨਾਲ ਤੈਨਾਤ ਧਮਕੀ ਦੀ ਬਜਾਏ ਇੱਕ ਪਰੂਫ-ਆਫ-ਸੰਕਲਪ (PoC) ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਈਰਾਨੁਕਿਟ ਵਜੋਂ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਇਸ ਸਮੇਂ ਅਸਲ-ਸੰਸਾਰ ਦੇ ਹਮਲਿਆਂ ਵਿੱਚ ਇਸਦੀ ਵਰਤੋਂ ਦਾ ਸੁਝਾਅ ਦੇਣ ਲਈ ਕੋਈ ਸਬੂਤ ਨਹੀਂ ਹੈ। ਉਰਫ ਬਲੈਕਕੈਟ ਦੇ ਅਧੀਨ ਕੰਮ ਕਰ ਰਹੇ ਇੱਕ ਡਿਵੈਲਪਰ ਦੁਆਰਾ ਬਣਾਇਆ ਗਿਆ, ਬੂਟਕਿੱਟ ਦਾ ਮੁੱਖ ਉਦੇਸ਼ ਲੀਨਕਸ ਸ਼ੁਰੂਆਤੀ ਪ੍ਰਕਿਰਿਆ ਦੌਰਾਨ ਦੋ ਅਜੇ ਤੱਕ ਅਣਪਛਾਤੇ ELF ਬਾਈਨਰੀਆਂ ਨੂੰ ਪ੍ਰੀਲੋਡ ਕਰਦੇ ਹੋਏ ਲੀਨਕਸ ਕਰਨਲ ਦਸਤਖਤ ਤਸਦੀਕ ਨੂੰ ਅਯੋਗ ਕਰਨਾ ਹੈ। ਇਹ ਪ੍ਰਕਿਰਿਆ, ਜੋ ਕਿ ਸਿਸਟਮ ਸਟਾਰਟਅੱਪ ਦੌਰਾਨ ਕਰਨਲ ਦੇ ਸ਼ੁਰੂਆਤੀ ਬਿੰਦੂ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ, ਲੀਨਕਸ ਦੀ ਕਾਰਜਸ਼ੀਲ ਸੁਰੱਖਿਆ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ।
ਲੀਨਕਸ ਲਈ UEFI ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ: ਜੋਖਮ ਦਾ ਇੱਕ ਨਵਾਂ ਮਾਪ
ਬੂਟਕਿੱਟੀ ਦਾ ਉਭਾਰ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਚੱਲੀ ਆ ਰਹੀ ਧਾਰਨਾ ਨੂੰ ਚੁਣੌਤੀ ਦਿੰਦਾ ਹੈ ਕਿ UEFI ਬੂਟਕਿੱਟ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ ਲਈ ਵਿਸ਼ੇਸ਼ ਹਨ। ਇਸ ਵਿਕਾਸ ਦੇ ਨਾਲ, ਲੀਨਕਸ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਹੁਣ ਸ਼ੋਸ਼ਣ ਦੇ ਇੱਕ ਸੰਭਾਵੀ ਨਵੇਂ ਮੌਕੇ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈਂਦਾ ਹੈ। ਬੂਟਕਿੱਟ ਆਪਣੇ ਪੇਲੋਡ ਨੂੰ ਚਲਾਉਣ ਲਈ ਇੱਕ ਸਵੈ-ਦਸਤਖਤ ਸਰਟੀਫਿਕੇਟ ਦਾ ਲਾਭ ਲੈਂਦੀ ਹੈ, ਜੋ ਕਿ UEFI ਸੁਰੱਖਿਅਤ ਬੂਟ ਸਮਰਥਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਇਸਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਨੂੰ ਸੀਮਿਤ ਕਰਦੀ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹ ਅਜੇ ਵੀ ਕੰਮ ਕਰ ਸਕਦਾ ਹੈ ਜੇਕਰ ਹਮਲਾਵਰ ਆਪਣੇ ਨਿਯੰਤਰਣ ਵਿੱਚ ਇੱਕ ਧੋਖਾਧੜੀ ਸਰਟੀਫਿਕੇਟ ਸਥਾਪਤ ਕਰਨ ਦਾ ਪ੍ਰਬੰਧ ਕਰਦੇ ਹਨ।
ਸਿਕਿਓਰ ਬੂਟ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਤੋਂ ਇਲਾਵਾ, ਬੂਟਕਿੱਟੀ ਬੂਟ ਪ੍ਰਕਿਰਿਆ ਦੌਰਾਨ ਲੀਨਕਸ ਕਰਨਲ ਦੀ ਮੈਮੋਰੀ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਦੀ ਹੈ, ਅਖੰਡਤਾ ਜਾਂਚਾਂ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰਦੀ ਹੈ। GNU GRand ਯੂਨੀਫਾਈਡ ਬੂਟਲੋਡਰ (GRUB) ਦੇ ਐਗਜ਼ੀਕਿਊਟ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ, ਬੂਟਕਿੱਟ ਇੰਟਰਸੈਪਟ ਅਤੇ ਪੈਚ ਫੰਕਸ਼ਨ ਇੰਟੈਗਰਿਟੀ ਵੈਰੀਫਿਕੇਸ਼ਨ ਲਈ ਜ਼ਰੂਰੀ ਹੈ। ਇਹ ਬਹੁ-ਪੱਧਰੀ ਹਮਲੇ ਦੀ ਰਣਨੀਤੀ UEFI ਅਤੇ ਲੀਨਕਸ ਸਿਸਟਮ ਅੰਦਰੂਨੀ ਦੀ ਇੱਕ ਵਧੀਆ ਸਮਝ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।
ਸੁਰੱਖਿਅਤ ਬੂਟ ਅਤੇ GRUB ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ: ਪਲੇ ਵਿੱਚ ਉੱਨਤ ਤਕਨੀਕਾਂ
ਜਦੋਂ ਸੁਰੱਖਿਅਤ ਬੂਟ ਸਮਰੱਥ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਬੂਟਕਿੱਟੀ ਇਕਸਾਰਤਾ ਜਾਂਚਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ UEFI ਪ੍ਰਮਾਣੀਕਰਨ ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਸੋਧਦੀ ਹੈ। ਇਹ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਜਾਇਜ਼ GRUB ਬੂਟਲੋਡਰ ਫੰਕਸ਼ਨਾਂ ਨੂੰ ਵੀ ਪੈਚ ਕਰਦਾ ਹੈ, ਅਸੁਰੱਖਿਅਤ ਪੇਲੋਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਯੋਗਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ। ਇਹ ਪੈਚ ਲੀਨਕਸ ਕਰਨਲ ਦੀ ਡੀਕੰਪਰੈਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਤੱਕ ਵਧਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਬੂਟਕਿੱਟ ਨੂੰ ਸਟਾਰਟਅੱਪ ਦੌਰਾਨ ਅਣਅਧਿਕਾਰਤ ਮੋਡੀਊਲ ਲੋਡ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।
ਇਸ ਦੇ ਹਮਲੇ ਦੀ ਸਹੂਲਤ ਲਈ, ਬੂਟਕਿੱਟੀ ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ LD_PRELOAD ਨੂੰ ਬਦਲਦੀ ਹੈ। ਇਹ ਐਡਜਸਟਮੈਂਟ ਲੀਨਕਸ ਸ਼ੁਰੂਆਤੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਦੋ ਅਣਜਾਣ ELF ਸਾਂਝੀਆਂ ਵਸਤੂਆਂ ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਮਜ਼ਬੂਰ ਕਰਦੀ ਹੈ- '/opt/injector.so' ਅਤੇ '/init - ਇਸ ਤਰ੍ਹਾਂ' ਸਿਸਟਮ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਬੂਟਕਿੱਟ ਦੀ ਪਹੁੰਚ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ।
BCDropper ਅਤੇ BCObserver: ਇੱਕ ਵੱਡਾ ਫਰੇਮਵਰਕ?
ਬੂਟਕਿੱਟੀ ਦੀ ਖੋਜ ਨੇ BCDropper ਨਾਮਕ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਸੰਬੰਧਿਤ ਅਣ-ਹਸਤਾਖਰਿਤ ਕਰਨਲ ਮੋਡੀਊਲ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। ਇਹ ਮੋਡੀਊਲ BCObserver ਨਾਮਕ ਇੱਕ ELF ਬਾਈਨਰੀ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ, ਜੋ ਬਦਲੇ ਵਿੱਚ, ਸਿਸਟਮ ਸ਼ੁਰੂ ਹੋਣ 'ਤੇ ਇੱਕ ਹੋਰ ਅਣਪਛਾਤੇ ਕਰਨਲ ਮੋਡੀਊਲ ਨੂੰ ਲੋਡ ਕਰਦਾ ਹੈ। ਉਸੇ ਬਲੈਕਕੈਟ ਉਪਨਾਮ ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਦੇ ਹੋਏ, ਇਹ ਵਾਧੂ ਮੋਡੀਊਲ ਰੂਟਕਿਟਸ ਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਫਾਈਲਾਂ, ਪ੍ਰਕਿਰਿਆਵਾਂ ਅਤੇ ਨੈਟਵਰਕ ਪੋਰਟਾਂ ਨੂੰ ਲੁਕਾਉਣਾ। ਇਹਨਾਂ ਉੱਨਤ ਸਮਰੱਥਾਵਾਂ ਦੇ ਬਾਵਜੂਦ, ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ ALPHV/BlackCat ransomware ਸਮੂਹ ਨਾਲ ਜੋੜਨ ਦਾ ਕੋਈ ਸਬੂਤ ਨਹੀਂ ਮਿਲਿਆ ਹੈ।
UEFI ਸੁਰੱਖਿਆ ਅਤੇ ਲੀਨਕਸ ਸਿਸਟਮ ਲਈ ਪ੍ਰਭਾਵ
ਹਾਲਾਂਕਿ ਅਜੇ ਵੀ ਸੰਕਲਪ ਦੇ ਸਬੂਤ ਵਜੋਂ ਸ਼੍ਰੇਣੀਬੱਧ ਕੀਤਾ ਗਿਆ ਹੈ, ਬੂਟਕਿੱਟੀ ਯੂਈਐਫਆਈ ਬੂਟਕਿੱਟਾਂ ਦੇ ਵਿਕਾਸ ਵਿੱਚ ਇੱਕ ਨਵੇਂ ਅਧਿਆਏ ਦਾ ਸੰਕੇਤ ਦਿੰਦੀ ਹੈ, ਉਹਨਾਂ ਦੀ ਪਹੁੰਚ ਨੂੰ ਵਿੰਡੋਜ਼ ਵਾਤਾਵਰਣਾਂ ਤੋਂ ਪਰੇ ਵਧਾਉਂਦੀ ਹੈ। ਇਹ ਵਿਕਾਸ ਲੀਨਕਸ-ਅਧਾਰਿਤ ਪ੍ਰਣਾਲੀਆਂ ਵਿੱਚ ਸੰਭਾਵੀ ਭਵਿੱਖ ਦੇ ਖਤਰਿਆਂ ਦੀ ਤਿਆਰੀ ਦੇ ਮਹੱਤਵ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦਾ ਹੈ, ਜੋ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਅਜਿਹੇ ਹਮਲਿਆਂ ਲਈ ਘੱਟ ਕਮਜ਼ੋਰ ਮੰਨੇ ਜਾਂਦੇ ਹਨ।
ਬੂਟਕਿੱਟੀ ਦਾ ਵਾਧਾ ਚੌਕਸ ਸਿਸਟਮ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੀ ਲੋੜ ਨੂੰ ਵੀ ਉਜਾਗਰ ਕਰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਅੱਪਡੇਟ ਕੀਤੇ ਫਰਮਵੇਅਰ ਨੂੰ ਕਾਇਮ ਰੱਖਣਾ, ਭਰੋਸੇਯੋਗ ਸਰਟੀਫਿਕੇਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ, ਅਤੇ ਜਿੱਥੇ ਵੀ ਸੰਭਵ ਹੋਵੇ ਸੁਰੱਖਿਅਤ ਬੂਟ ਨੂੰ ਸਮਰੱਥ ਕਰਨਾ। ਲੀਨਕਸ 'ਤੇ UEFI ਬੂਟਕਿੱਟਾਂ ਦੀ ਵਿਵਹਾਰਕਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਕੇ, ਬੂਟਕਿੱਟੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਪੇਸ਼ੇਵਰਾਂ ਅਤੇ ਲੀਨਕਸ ਉਪਭੋਗਤਾਵਾਂ ਦੋਵਾਂ ਲਈ ਆਪਣੇ ਬਚਾਅ ਪੱਖ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ ਇੱਕ ਵੇਕ-ਅੱਪ ਕਾਲ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ।
