Вредоносное ПО Bootkitty
Исследователи кибербезопасности представили то, что описывается как первый в истории буткит Unified Extensible Firmware Interface (UEFI), специально разработанный для систем Linux. Эта новая разработка, названная Bootkitty, представляет собой значительный сдвиг в ландшафте киберугроз, в котором буткиты UEFI традиционно ассоциировались преимущественно с платформами Windows.
Оглавление
Bootkitty: проверка концепции или новая угроза?
Обнаруженный 5 ноября 2024 года, Bootkitty, как полагают, является Proof-of-Concept (PoC), а не активно развернутой угрозой. Также известный как IranuKit, в настоящее время нет никаких доказательств, позволяющих предположить его использование в реальных атаках. Созданный разработчиком, работающим под псевдонимом BlackCat, буткит основной целью является отключение проверки подписи ядра Linux при предварительной загрузке двух пока еще не идентифицированных двоичных файлов ELF во время процесса инициализации Linux. Этот процесс, который служит отправной точкой ядра во время запуска системы, имеет решающее значение для операционной безопасности Linux.
Использование UEFI для Linux: новое измерение риска
Появление Bootkitty бросает вызов давнему восприятию того, что буткиты UEFI предназначены исключительно для систем Windows. С этой разработкой пользователи Linux теперь сталкиваются с потенциально новым направлением эксплуатации. Буткит использует самоподписанный сертификат для выполнения своей полезной нагрузки, что ограничивает его функциональность на системах с включенной функцией UEFI Secure Boot. Однако он все еще может работать, если злоумышленникам удастся установить поддельный сертификат под своим контролем.
Помимо обхода Secure Boot, Bootkitty манипулирует памятью ядра Linux во время процесса загрузки, подрывая проверки целостности. Перед запуском GNU GRand Unified Bootloader (GRUB) буткит перехватывает и исправляет функции, критически важные для проверки целостности. Эта многоуровневая стратегия атаки демонстрирует сложное понимание внутренних компонентов UEFI и Linux.
Нацеливание на Secure Boot и GRUB: продвинутые методы в действии
При включении Secure Boot Boot, Bootkitty изменяет протоколы аутентификации UEFI, чтобы обойти проверки целостности. Он также исправляет легитимные функции загрузчика GRUB, чтобы избежать обнаружения, что еще больше повышает его способность выполнять небезопасные полезные нагрузки. Эти исправления распространяются на процесс распаковки ядра Linux, позволяя буткиту загружать неавторизованные модули во время запуска.
Для облегчения своей атаки Bootkitty изменяет переменную окружения LD_PRELOAD. Эта корректировка заставляет процесс инициализации Linux загружать два неизвестных общих объекта ELF, идентифицированных как '/opt/injector.so' и '/init', тем самым расширяя возможности буткита в системных операциях.
BCDropper и BCObserver: более крупный фреймворк?
Исследование Bootkitty выявило потенциально связанный неподписанный модуль ядра под названием BCDropper. Этот модуль способен развернуть двоичный файл ELF под названием BCObserver, который, в свою очередь, загружает другой неопознанный модуль ядра при запуске системы. Работая под тем же псевдонимом BlackCat, этот дополнительный модуль демонстрирует типичные для руткитов функции, такие как скрытие файлов, процессов и сетевых портов. Несмотря на эти расширенные возможности, исследователи не нашли никаких доказательств, связывающих эту деятельность с группой вымогателей ALPHV/BlackCat.
Последствия для безопасности UEFI и систем Linux
Хотя Bootkitty все еще классифицируется как proof-of-concept, он открывает новую главу в эволюции буткитов UEFI, расширяя их возможности за пределы сред Windows. Эта разработка подчеркивает важность подготовки к потенциальным будущим угрозам в системах на базе Linux, которые долгое время считались менее уязвимыми для таких атак.
Рост Bootkitty также подчеркивает необходимость бдительных мер безопасности системы, таких как поддержание обновленной прошивки, использование доверенных сертификатов и включение Secure Boot везде, где это возможно. Демонстрируя осуществимость UEFI-буткитов в Linux, Bootkitty служит тревожным сигналом как для специалистов по кибербезопасности, так и для пользователей Linux, чтобы усилить свою защиту.
