Bootkitty మాల్వేర్
సైబర్ సెక్యూరిటీ పరిశోధకులు Linux సిస్టమ్లను లక్ష్యంగా చేసుకోవడానికి ప్రత్యేకంగా రూపొందించిన మొట్టమొదటి యూనిఫైడ్ ఎక్స్టెన్సిబుల్ ఫర్మ్వేర్ ఇంటర్ఫేస్ (UEFI) బూట్కిట్గా వర్ణించబడుతోంది. బూట్కిట్టి అనే ఈ కొత్త డెవలప్మెంట్ సైబర్ థ్రెట్ ల్యాండ్స్కేప్లో గణనీయమైన మార్పును సూచిస్తుంది, ఇది సాంప్రదాయకంగా Windows ప్లాట్ఫారమ్లతో అనుబంధించబడిన UEFI బూట్కిట్లను చూసింది.
విషయ సూచిక
బూట్కిట్టి: ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ లేదా ఎమర్జింగ్ థ్రెట్?
నవంబర్ 5, 2024న వెలికితీసిన బూట్కిట్టి యాక్టివ్గా మోహరించిన ముప్పు కంటే ప్రూఫ్-ఆఫ్-కాన్సెప్ట్ (PoC) అని నమ్ముతారు. IranuKit అని కూడా సూచిస్తారు, వాస్తవ ప్రపంచ దాడులలో దాని ఉపయోగాన్ని సూచించడానికి ప్రస్తుతం ఎటువంటి ఆధారాలు లేవు. బ్లాక్క్యాట్ అనే మారుపేరుతో పనిచేసే డెవలపర్ ద్వారా సృష్టించబడినది, Linux ప్రారంభ ప్రక్రియ సమయంలో ఇంకా గుర్తించబడని రెండు ELF బైనరీలను ప్రీలోడ్ చేస్తున్నప్పుడు Linux కెర్నల్ సంతకం ధృవీకరణను నిలిపివేయడం బూట్కిట్ యొక్క ప్రాథమిక లక్ష్యం. సిస్టమ్ స్టార్టప్ సమయంలో కెర్నల్ యొక్క ప్రారంభ బిందువుగా పనిచేసే ఈ ప్రక్రియ Linux యొక్క కార్యాచరణ భద్రతకు కీలకమైనది.
Linux కోసం UEFIని ఉపయోగించుకోవడం: ప్రమాదం యొక్క కొత్త డైమెన్షన్
బూట్కిట్టి యొక్క ఆవిర్భావం UEFI బూట్కిట్లు విండోస్ సిస్టమ్లకు ప్రత్యేకమైనవి అనే దీర్ఘకాల అవగాహనను సవాలు చేస్తుంది. ఈ అభివృద్ధితో, Linux వినియోగదారులు ఇప్పుడు కొత్త దోపిడీని ఎదుర్కొంటున్నారు. బూట్కిట్ దాని పేలోడ్ని అమలు చేయడానికి స్వీయ సంతకం చేసిన సర్టిఫికేట్ను ప్రభావితం చేస్తుంది, ఇది UEFI సురక్షిత బూట్ ప్రారంభించబడిన సిస్టమ్లలో దాని కార్యాచరణను పరిమితం చేస్తుంది. అయినప్పటికీ, దాడి చేసేవారు తమ నియంత్రణలో మోసపూరిత సర్టిఫికేట్ను ఇన్స్టాల్ చేయగలిగితే అది ఇప్పటికీ పనిచేయగలదు.
సురక్షిత బూట్ను దాటవేయడంతోపాటు, బూట్కిట్టి బూట్ ప్రక్రియలో Linux కెర్నల్ మెమరీని మార్చుతుంది, సమగ్రత తనిఖీలను బలహీనపరుస్తుంది. GNU GRand యూనిఫైడ్ బూట్లోడర్ (GRUB) అమలు చేయబడే ముందు, బూట్కిట్ ఇంటర్సెప్ట్ మరియు ప్యాచ్లు సమగ్రత ధృవీకరణకు కీలకం. ఈ బహుళ-లేయర్డ్ దాడి వ్యూహం UEFI మరియు Linux సిస్టమ్ ఇంటర్నల్ల యొక్క అధునాతన అవగాహనను ప్రదర్శిస్తుంది.
సురక్షిత బూట్ మరియు GRUBని లక్ష్యంగా చేసుకోవడం: ప్లేలో అధునాతన సాంకేతికతలు
సురక్షిత బూట్ ప్రారంభించబడినప్పుడు, Bootkitty సమగ్రత తనిఖీలను దాటవేయడానికి UEFI ప్రమాణీకరణ ప్రోటోకాల్లను సవరించింది. ఇది గుర్తించబడకుండా ఉండటానికి చట్టబద్ధమైన GRUB బూట్లోడర్ ఫంక్షన్లను కూడా ప్యాచ్ చేస్తుంది, అసురక్షిత పేలోడ్లను అమలు చేసే సామర్థ్యాన్ని మరింతగా నిర్ధారిస్తుంది. ఈ ప్యాచ్లు Linux కెర్నల్ యొక్క డికంప్రెషన్ ప్రాసెస్కు విస్తరించి, స్టార్టప్ సమయంలో అనధికార మాడ్యూల్లను లోడ్ చేయడానికి బూట్కిట్ను అనుమతిస్తుంది.
దాని దాడిని సులభతరం చేయడానికి, Bootkitty పర్యావరణ వేరియబుల్ LD_PRELOADని మారుస్తుంది. ఈ సర్దుబాటు Linux ప్రారంభ ప్రక్రియను '/opt/injector.so' మరియు '/init-గా గుర్తించబడిన రెండు తెలియని ELF భాగస్వామ్య ఆబ్జెక్ట్లను లోడ్ చేయమని బలవంతం చేస్తుంది.
BCDropper మరియు BCObserver: ఎ లార్జర్ ఫ్రేమ్వర్క్?
బూట్కిట్టిపై చేసిన పరిశోధన BCDropper అనే పేరుగల సంతకం చేయని కెర్నల్ మాడ్యూల్ను కనుగొంది. ఈ మాడ్యూల్ BCObserver అని పిలువబడే ELF బైనరీని అమలు చేయగలదు, ఇది సిస్టమ్ స్టార్టప్లో మరొక గుర్తించబడని కెర్నల్ మాడ్యూల్ను లోడ్ చేస్తుంది. అదే బ్లాక్క్యాట్ మారుపేరుతో పనిచేస్తోంది, ఈ అదనపు మాడ్యూల్ ఫైల్లు, ప్రాసెస్లు మరియు నెట్వర్క్ పోర్ట్లను దాచడం వంటి రూట్కిట్లకు విలక్షణమైన కార్యాచరణలను ప్రదర్శిస్తుంది. ఈ అధునాతన సామర్థ్యాలు ఉన్నప్పటికీ, పరిశోధకులు ఈ కార్యకలాపాన్ని ALPHV/BlackCat ransomware సమూహానికి లింక్ చేసే ఆధారాలు కనుగొనలేదు.
UEFI భద్రత మరియు Linux సిస్టమ్స్ కోసం చిక్కులు
ఇప్పటికీ ప్రూఫ్-ఆఫ్-కాన్సెప్ట్గా వర్గీకరించబడినప్పటికీ, బూట్కిట్టి UEFI బూట్కిట్ల పరిణామంలో కొత్త అధ్యాయాన్ని సూచిస్తుంది, విండోస్ పరిసరాలకు మించి వాటి పరిధిని విస్తరించింది. ఈ అభివృద్ధి Linux-ఆధారిత సిస్టమ్లలో సంభావ్య భవిష్యత్ బెదిరింపుల కోసం సిద్ధం కావడం యొక్క ప్రాముఖ్యతను నొక్కి చెబుతుంది, ఇది చాలా కాలంగా ఇటువంటి దాడులకు తక్కువ హానిగా పరిగణించబడుతుంది.
Bootkitty యొక్క పెరుగుదల, అప్డేట్ చేయబడిన ఫర్మ్వేర్ను నిర్వహించడం, విశ్వసనీయ ధృవపత్రాలను ఉపయోగించడం మరియు సాధ్యమైన చోట సురక్షిత బూట్ను ప్రారంభించడం వంటి అప్రమత్తమైన సిస్టమ్ భద్రతా చర్యల అవసరాన్ని కూడా హైలైట్ చేస్తుంది. Linuxలో UEFI బూట్కిట్ల సాధ్యాసాధ్యాలను ప్రదర్శించడం ద్వారా, బూట్కిట్టి సైబర్ సెక్యూరిటీ నిపుణులు మరియు Linux వినియోగదారులకు వారి రక్షణను పటిష్టం చేసుకోవడానికి ఒక మేల్కొలుపు కాల్గా పనిచేస్తుంది.
