Бооткитти Малваре
Истраживачи кибернетичке безбедности открили су оно што се описује као први у историји бооткит Унифиед Ектенсибле Фирмваре Интерфаце (УЕФИ) посебно дизајниран да циља Линук системе. Овај нови развој, назван Бооткитти, представља значајан помак у пејзажу сајбер претњи, који традиционално виђа УЕФИ боотките који су претежно повезани са Виндовс платформама.
Преглед садржаја
Бооткитти: Доказ концепта или нова претња?
Верује се да је Бооткитти откривен 5. новембра 2024. као доказ концепта (ПоЦ), а не као активно распоређена претња. Такође се назива ИрануКит, тренутно нема доказа који би указивали на његову употребу у нападима у стварном свету. Креиран од стране програмера који ради под псеудонимом БлацкЦат, примарни циљ бооткита је да онемогући верификацију потписа Линук кернела уз претходно учитавање две још увек неидентификоване ЕЛФ бинарне датотеке током процеса иницијализације Линук-а. Овај процес, који служи као почетна тачка кернела током покретања система, кључан је за оперативну безбедност Линук-а.
Искоришћавање УЕФИ-ја за Линук: Нова димензија ризика
Појава Бооткитти-ја доводи у питање дугогодишњу перцепцију да су УЕФИ бооткити ексклузивни за Виндовс системе. Са овим развојем, корисници Линук-а се сада суочавају са потенцијалним новим путем експлоатације. Бооткит користи самопотписани сертификат за извршавање свог корисног оптерећења, што ограничава његову функционалност на системима са омогућеним УЕФИ Сецуре Боот. Међутим, и даље би могао да функционише ако нападачи успеју да инсталирају лажни сертификат под њиховом контролом.
Осим заобилажења безбедног покретања, Бооткитти манипулише меморијом Линук кернела током процеса покретања, подривајући проверу интегритета. Пре него што се изврши ГНУ ГРанд Унифиед Боотлоадер (ГРУБ), бооткит пресреће и закрпи функције кључне за верификацију интегритета. Ова стратегија вишеслојног напада демонстрира софистицирано разумевање унутрашњих делова УЕФИ и Линук система.
Циљање на безбедно покретање и ГРУБ: напредне технике у игри
Када је безбедно покретање омогућено, Бооткитти модификује УЕФИ протоколе за аутентификацију да би заобишао провере интегритета. Такође закрпи легитимне ГРУБ боотлоадер функције да би се избегао откривање, додатно обезбеђујући његову способност да изврши небезбедно оптерећење. Ове закрпе се проширују на процес декомпресије Линук кернела, омогућавајући бооткиту да учита неовлашћене модуле током покретања.
Да би олакшао напад, Бооткитти мења променљиву окружења ЛД_ПРЕЛОАД. Ово прилагођавање приморава процес иницијализације Линук-а да учита два непозната ЕЛФ дељена објекта — идентификована као '/опт/ињецтор.со' и '/инит' - чиме се проширује домет бооткита у системске операције.
БЦДроппер и БЦОбсервер: већи оквир?
Истраживање Бооткиттија открило је потенцијално повезан непотписани модул кернела под називом БЦДроппер. Овај модул је способан да примени ЕЛФ бинарни фајл који се зове БЦОбсервер, који заузврат учитава други неидентификовани модул кернела при покретању система. Радећи под истим БлацкЦат псеудонимом, овај додатни модул показује функције типичне за роотките, као што су скривање датотека, процеса и мрежних портова. Упркос овим напредним могућностима, истраживачи нису пронашли доказе који повезују ову активност са АЛПХВ/БлацкЦат рансомваре групом.
Импликације за УЕФИ безбедност и Линук системе
Иако је још увек категорисан као доказ концепта, Бооткитти сигнализира ново поглавље у еволуцији УЕФИ бооткита, проширујући њихов домет изван Виндовс окружења. Овакав развој догађаја наглашава важност припреме за потенцијалне будуће претње у системима заснованим на Линуку, за које се дуго сматрало да су мање рањиви на такве нападе.
Успон Бооткитти-ја такође наглашава потребу за опрезним мерама безбедности система, као што је одржавање ажурираног фирмвера, коришћење поузданих сертификата и омогућавање безбедног покретања где год је то могуће. Демонстрирајући изводљивост УЕФИ бооткита на Линук-у, Бооткитти служи као позив за буђење и професионалцима за сајбер безбедност и корисницима Линук-а да ојачају своју одбрану.
