பூட்கிட்டி மால்வேர்
சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், லினக்ஸ் அமைப்புகளை குறிவைக்க வடிவமைக்கப்பட்ட முதல் யுனிஃபைட் எக்ஸ்டென்சிபிள் ஃபார்ம்வேர் இன்டர்ஃபேஸ் (யுஇஎஃப்ஐ) பூட்கிட் என விவரிக்கப்படுவதை வெளியிட்டுள்ளனர். பூட்கிட்டி என்று பெயரிடப்பட்ட இந்தப் புதிய மேம்பாடு, சைபர் அச்சுறுத்தல் நிலப்பரப்பில் குறிப்பிடத்தக்க மாற்றத்தைக் குறிக்கிறது, இது பாரம்பரியமாக யுஇஎஃப்ஐ பூட்கிட்கள் முக்கியமாக விண்டோஸ் இயங்குதளங்களுடன் தொடர்புடையது.
பொருளடக்கம்
பூட்கிட்டி: கருத்துக்கு ஆதாரம் அல்லது அச்சுறுத்தல்?
நவம்பர் 5, 2024 அன்று கண்டுபிடிக்கப்பட்டது, பூட்கிட்டி தீவிரமாக பயன்படுத்தப்பட்ட அச்சுறுத்தலுக்குப் பதிலாக கருத்துக்கான ஆதாரம் (PoC) என நம்பப்படுகிறது. IranuKit என்றும் குறிப்பிடப்படுகிறது, நிஜ-உலகத் தாக்குதல்களில் இதைப் பயன்படுத்துவதற்கு தற்போது எந்த ஆதாரமும் இல்லை. BlackCat என்ற மாற்றுப்பெயரின் கீழ் செயல்படும் ஒரு டெவலப்பரால் உருவாக்கப்பட்டது, பூட்கிட்டின் முதன்மை நோக்கம் லினக்ஸ் துவக்கச் செயல்பாட்டின் போது இன்னும் அடையாளம் காணப்படாத இரண்டு ELF பைனரிகளை முன் ஏற்றும் போது லினக்ஸ் கர்னல் கையொப்ப சரிபார்ப்பை முடக்குவதாகும். கணினி துவக்கத்தின் போது கர்னலின் தொடக்க புள்ளியாக செயல்படும் இந்த செயல்முறை, லினக்ஸின் செயல்பாட்டு பாதுகாப்பிற்கு முக்கியமானது.
லினக்ஸிற்கான UEFI ஐப் பயன்படுத்துதல்: அபாயத்தின் புதிய பரிமாணம்
பூட்கிட்டியின் தோற்றம் UEFI பூட்கிட்கள் விண்டோஸ் சிஸ்டங்களுக்கு பிரத்தியேகமானவை என்ற நீண்டகால கருத்தை சவால் செய்கிறது. இந்த வளர்ச்சியுடன், Linux பயனர்கள் இப்போது ஒரு புதிய சுரண்டல் வழியை எதிர்கொள்கின்றனர். பூட்கிட் அதன் பேலோடை இயக்க சுய-கையொப்பமிட்ட சான்றிதழைப் பயன்படுத்துகிறது, இது UEFI செக்யூர் பூட் இயக்கப்பட்ட கணினிகளில் அதன் செயல்பாட்டைக் கட்டுப்படுத்துகிறது. இருப்பினும், தாக்குபவர்கள் தங்கள் கட்டுப்பாட்டின் கீழ் ஒரு மோசடி சான்றிதழை நிறுவ முடிந்தால் அது இன்னும் செயல்படும்.
செக்யூர் பூட்டைப் புறக்கணிப்பதைத் தாண்டி, பூட்கிட்டி லினக்ஸ் கர்னலின் நினைவகத்தை துவக்கச் செயல்பாட்டின் போது கையாளுகிறது, இது ஒருமைப்பாடு சோதனைகளை குறைமதிப்பிற்கு உட்படுத்துகிறது. GNU GRand Unified Bootloader (GRUB) செயல்படுத்தப்படுவதற்கு முன், பூட்கிட் இடைமறித்து பேட்ச்கள் ஒருமைப்பாடு சரிபார்ப்புக்கு முக்கியமானதாக செயல்படுகிறது. இந்த பல அடுக்கு தாக்குதல் உத்தி யுஇஎஃப்ஐ மற்றும் லினக்ஸ் சிஸ்டம் இன்டர்னல்கள் பற்றிய அதிநவீன புரிதலை நிரூபிக்கிறது.
பாதுகாப்பான துவக்கம் மற்றும் GRUB ஐ இலக்கு வைத்தல்: Play இல் மேம்பட்ட நுட்பங்கள்
செக்யூர் பூட் இயக்கப்பட்டால், பூட்கிட்டி ஒருமைப்பாடு சரிபார்ப்புகளைத் தவிர்க்க UEFI அங்கீகார நெறிமுறைகளை மாற்றியமைக்கிறது. இது முறையான GRUB பூட்லோடர் செயல்பாடுகளைக் கண்டறிவதைத் தவிர்க்கவும், பாதுகாப்பற்ற பேலோடுகளைச் செயல்படுத்தும் திறனை மேலும் உறுதி செய்கிறது. இந்த இணைப்புகள் லினக்ஸ் கர்னலின் டிகம்ப்ரஷன் செயல்முறை வரை நீட்டிக்கப்படுகின்றன, துவக்கத்தின் போது பூட்கிட் அங்கீகரிக்கப்படாத தொகுதிகளை ஏற்றுவதற்கு உதவுகிறது.
அதன் தாக்குதலை எளிதாக்க, பூட்கிட்டி சூழல் மாறி LD_PRELOAD ஐ மாற்றுகிறது. இந்த சரிசெய்தல் லினக்ஸ் துவக்க செயல்முறையை இரண்டு அறியப்படாத ELF பகிரப்பட்ட பொருள்களை ஏற்றுவதற்கு கட்டாயப்படுத்துகிறது—'/opt/injector.so' மற்றும் '/init-அதன் மூலம்' கணினி செயல்பாடுகளில் பூட்கிட்டின் அணுகலை விரிவுபடுத்துகிறது.
BCDropper மற்றும் BCObserver: A Larger Framework?
Bootkitty பற்றிய ஆராய்ச்சியானது BCDropper என்ற பெயரிடப்பட்ட கையொப்பமிடப்படாத கர்னல் தொகுதியைக் கண்டறிந்துள்ளது. இந்த தொகுதி BCObserver எனப்படும் ELF பைனரியை வரிசைப்படுத்தும் திறன் கொண்டது, இது கணினி துவக்கத்தில் மற்றொரு அடையாளம் தெரியாத கர்னல் தொகுதியை ஏற்றுகிறது. அதே BlackCat புனைப்பெயரில் செயல்படும் இந்த கூடுதல் தொகுதியானது கோப்புகள், செயல்முறைகள் மற்றும் பிணைய போர்ட்களை மறைத்தல் போன்ற ரூட்கிட்களின் வழக்கமான செயல்பாடுகளை வெளிப்படுத்துகிறது. இந்த மேம்பட்ட திறன்கள் இருந்தபோதிலும், இந்த செயல்பாட்டை ALPHV/BlackCat ransomware குழுவுடன் இணைக்கும் எந்த ஆதாரத்தையும் ஆராய்ச்சியாளர்கள் கண்டுபிடிக்கவில்லை.
UEFI பாதுகாப்பு மற்றும் லினக்ஸ் அமைப்புகளுக்கான தாக்கங்கள்
கருத்துக்கு ஆதாரமாக இன்னும் வகைப்படுத்தப்பட்டிருந்தாலும், UEFI பூட்கிட்களின் பரிணாம வளர்ச்சியில் ஒரு புதிய அத்தியாயத்தை பூட்கிட்டி சமிக்ஞை செய்கிறது, இது விண்டோஸ் சூழல்களுக்கு அப்பால் அவற்றின் வரம்பை விரிவுபடுத்துகிறது. இந்த வளர்ச்சி லினக்ஸ்-அடிப்படையிலான கணினிகளில் எதிர்கால அச்சுறுத்தல்களைத் தயாரிப்பதன் முக்கியத்துவத்தை அடிக்கோடிட்டுக் காட்டுகிறது.
பூட்கிட்டியின் எழுச்சியானது, புதுப்பிக்கப்பட்ட ஃபார்ம்வேரைப் பராமரித்தல், நம்பகமான சான்றிதழ்களைப் பயன்படுத்துதல் மற்றும் முடிந்தவரை பாதுகாப்பான துவக்கத்தை இயக்குதல் போன்ற விழிப்புடன் கூடிய கணினி பாதுகாப்பு நடவடிக்கைகளின் அவசியத்தையும் எடுத்துக்காட்டுகிறது. லினக்ஸில் UEFI பூட்கிட்களின் சாத்தியக்கூறுகளை நிரூபிப்பதன் மூலம், சைபர் பாதுகாப்பு வல்லுநர்கள் மற்றும் லினக்ஸ் பயனர்கள் இருவருக்குமே பூட்கிட்டி அவர்களின் பாதுகாப்பை வலுப்படுத்த ஒரு விழிப்புணர்வு அழைப்பாக செயல்படுகிறது.
