Bootkitty skadlig programvara

Cybersäkerhetsforskare har avslöjat vad som beskrivs som den första någonsin Unified Extensible Firmware Interface (UEFI) bootkit speciellt utformad för att rikta in sig på Linux-system. Den här nya utvecklingen, som heter Bootkitty, representerar en betydande förändring i cyberhotslandskapet, som traditionellt sett har sett UEFI-bootkits huvudsakligen förknippade med Windows-plattformar.

Bootkitty: Proof-of-Concept eller framväxande hot?

Bootkitty avslöjades den 5 november 2024 och tros vara ett Proof-of-Concept (PoC) snarare än ett aktivt utplacerat hot. Även kallad IranuKit, det finns för närvarande inga bevis som tyder på att det används i verkliga attacker. Skapat av en utvecklare som arbetar under aliaset BlackCat, är bootkittets primära syfte att inaktivera Linux-kärnansignaturverifiering samtidigt som två ännu oidentifierade ELF-binärer laddas under Linux-initieringsprocessen. Denna process, som fungerar som kärnans utgångspunkt under systemstart, är avgörande för Linuxs driftsäkerhet.

Att utnyttja UEFI för Linux: En ny riskdimension

Framväxten av Bootkitty utmanar den långvariga uppfattningen att UEFI-bootkits är exklusiva för Windows-system. Med denna utveckling står Linux-användare nu inför en potentiell ny möjlighet att utnyttja. Bootkit använder ett självsignerat certifikat för att exekvera dess nyttolast, vilket begränsar dess funktionalitet på system med UEFI Secure Boot aktiverat. Det kan dock fortfarande fungera om angripare lyckas installera ett bedrägligt certifikat under deras kontroll.

Utöver att kringgå Secure Boot, manipulerar Bootkitty Linux-kärnans minne under uppstartsprocessen, vilket undergräver integritetskontroller. Innan GNU GRand Unified Bootloader (GRUB) körs, fångar bootkitet upp och korrigerar funktioner som är avgörande för integritetsverifiering. Denna flerskiktiga attackstrategi visar en sofistikerad förståelse för UEFI- och Linux-systems interna delar.

Inriktning på säker start och GRUB: avancerade tekniker i spel

När Secure Boot är aktiverat, ändrar Bootkitty UEFI-autentiseringsprotokoll för att kringgå integritetskontroller. Den korrigerar också legitima GRUB bootloader-funktioner för att undvika upptäckt, vilket ytterligare säkerställer dess förmåga att exekvera osäkra nyttolaster. Dessa patchar sträcker sig till Linux-kärnans dekompressionsprocess, vilket gör att bootkitet kan ladda obehöriga moduler under uppstart.

För att underlätta attacken ändrar Bootkitty miljövariabeln LD_PRELOAD. Den här justeringen tvingar Linux-initieringsprocessen att ladda två okända delade ELF-objekt – identifierade som '/opt/injector.so' och '/init – och därigenom utökas startpaketets räckvidd till systemoperationer.

BCDropper och BCObserver: ett större ramverk?

Forskningen om Bootkitty har avslöjat en potentiellt relaterad osignerad kärnmodul vid namn BCDropper. Denna modul kan distribuera en ELF-binär som kallas BCObserver, som i sin tur laddar en annan oidentifierad kärnmodul vid systemstart. Denna extra modul fungerar under samma BlackCat-pseudonym och uppvisar funktioner som är typiska för rootkits, som att dölja filer, processer och nätverksportar. Trots dessa avancerade funktioner har forskare inte hittat några bevis som kopplar denna aktivitet till ALPHV/BlackCat ransomware-gruppen.

Konsekvenser för UEFI Security och Linux-system

Även om Bootkitty fortfarande är kategoriserad som ett proof-of-concept, signalerar Bootkitty ett nytt kapitel i utvecklingen av UEFI-bootkits, vilket utökar deras räckvidd utanför Windows-miljöer. Denna utveckling understryker vikten av att förbereda sig för potentiella framtida hot i Linux-baserade system, som länge har ansetts vara mindre sårbara för sådana attacker.

Framväxten av Bootkitty belyser också behovet av vaksamma systemsäkerhetsåtgärder, som att underhålla uppdaterad firmware, använda betrodda certifikat och aktivera säker start där det är möjligt. Genom att demonstrera genomförbarheten av UEFI-bootkits på Linux, fungerar Bootkitty som en väckarklocka för både cybersäkerhetsproffs och Linux-användare att stärka sina försvar.