Шкідливе програмне забезпечення Bootkitty
Дослідники з кібербезпеки оприлюднили те, що називають першим в історії буткітом Unified Extensible Firmware Interface (UEFI), спеціально розробленим для систем Linux. Ця нова розробка, названа Bootkitty, представляє значну зміну в ландшафті кіберзагроз, у якому традиційно буткіти UEFI пов’язані переважно з платформами Windows.
Зміст
Bootkitty: підтвердження концепції чи нова загроза?
Вважається, що Bootkitty, виявлений 5 листопада 2024 року, є доказом концепції (PoC), а не активно розгорнутою загрозою. Також відомий як IranuKit, наразі немає доказів його використання в реальних атаках. Буткіт, створений розробником під псевдонімом BlackCat, має на меті вимкнути перевірку підпису ядра Linux під час попереднього завантаження двох ще не ідентифікованих бінарних файлів ELF під час процесу ініціалізації Linux. Цей процес, який служить відправною точкою ядра під час запуску системи, має вирішальне значення для операційної безпеки Linux.
Використання UEFI для Linux: новий вимір ризику
Поява Bootkitty кидає виклик давньому уявленню про те, що буткіти UEFI є ексклюзивними для систем Windows. Завдяки цій розробці користувачі Linux тепер стикаються з потенційно новим напрямком експлуатації. Буткіт використовує самопідписаний сертифікат для виконання свого корисного навантаження, що обмежує його функціональність у системах з увімкненим UEFI Secure Boot. Однак він все ще може працювати, якщо зловмисникам вдасться встановити шахрайський сертифікат під їхнім контролем.
Окрім обходу безпечного завантаження, Bootkitty маніпулює пам’яттю ядра Linux під час процесу завантаження, підриваючи перевірки цілісності. Перед виконанням GNU GRand Unified Bootloader (GRUB) буткіт перехоплює та виправляє функції, критичні для перевірки цілісності. Ця багаторівнева стратегія атаки демонструє глибоке розуміння UEFI та внутрішньої системи Linux.
Націлювання на Secure Boot і GRUB: Advanced Techniques in Play
Коли безпечне завантаження ввімкнено, Bootkitty змінює протоколи автентифікації UEFI, щоб обійти перевірку цілісності. Він також виправляє законні функції завантажувача GRUB, щоб уникнути виявлення, додатково забезпечуючи його здатність виконувати небезпечні корисні навантаження. Ці виправлення поширюються на процес декомпресії ядра Linux, дозволяючи буткіту завантажувати неавторизовані модулі під час запуску.
Щоб полегшити атаку, Bootkitty змінює змінну середовища LD_PRELOAD. Це налаштування змушує процес ініціалізації Linux завантажувати два невідомі спільні об’єкти ELF, ідентифіковані як «/opt/injector.so» та «/init», таким чином розширюючи доступ буткіта до системних операцій.
BCDropper і BCObserver: більший фреймворк?
Дослідження Bootkitty виявило потенційно пов’язаний непідписаний модуль ядра під назвою BCDropper. Цей модуль здатний розгортати двійковий файл ELF під назвою BCObserver, який, у свою чергу, завантажує інший неідентифікований модуль ядра під час запуску системи. Працюючи під тим же псевдонімом BlackCat, цей додатковий модуль демонструє функціональні можливості, типові для руткітів, такі як приховування файлів, процесів і мережевих портів. Незважаючи на ці розширені можливості, дослідники не знайшли доказів зв’язку цієї діяльності з групою програм-вимагачів ALPHV/BlackCat.
Наслідки для безпеки UEFI та систем Linux
Незважаючи на те, що Bootkitty все ще вважається доказом концепції, він відкриває нову главу в еволюції буткітів UEFI, розширюючи їх охоплення за межі середовища Windows. Ця подія підкреслює важливість підготовки до потенційних майбутніх загроз у системах на базі Linux, які протягом тривалого часу вважалися менш вразливими до таких атак.
Зростання Bootkitty також підкреслює необхідність пильних заходів безпеки системи, таких як підтримка оновленого мікропрограмного забезпечення, використання надійних сертифікатів і ввімкнення безпечного завантаження, де це можливо. Демонструючи можливість застосування буткітів UEFI в Linux, Bootkitty служить тривожним дзвіночком як для професіоналів з кібербезпеки, так і для користувачів Linux, щоб зміцнити свій захист.
