Phần mềm độc hại Bootkitty

Các nhà nghiên cứu an ninh mạng đã tiết lộ thứ được mô tả là bộ khởi động Giao diện chương trình cơ sở mở rộng hợp nhất (UEFI) đầu tiên được thiết kế riêng để nhắm vào các hệ thống Linux. Sự phát triển mới này, có tên là Bootkitty, đại diện cho sự thay đổi đáng kể trong bối cảnh đe dọa mạng, vốn trước đây bộ khởi động UEFI chủ yếu liên quan đến nền tảng Windows.

Bootkitty: Bằng chứng về khái niệm hay mối đe dọa mới nổi?

Được phát hiện vào ngày 5 tháng 11 năm 2024, Bootkitty được cho là một Proof-of-Concept (PoC) chứ không phải là một mối đe dọa được triển khai tích cực. Còn được gọi là IranuKit, hiện không có bằng chứng nào cho thấy nó được sử dụng trong các cuộc tấn công trong thế giới thực. Được tạo ra bởi một nhà phát triển hoạt động dưới bí danh BlackCat, mục đích chính của bootkit là vô hiệu hóa xác minh chữ ký hạt nhân Linux trong khi tải trước hai tệp nhị phân ELF chưa xác định trong quá trình khởi tạo Linux. Quá trình này, đóng vai trò là điểm khởi đầu của hạt nhân trong quá trình khởi động hệ thống, rất quan trọng đối với bảo mật hoạt động của Linux.

Khai thác UEFI cho Linux: Một chiều hướng rủi ro mới

Sự xuất hiện của Bootkitty thách thức nhận thức lâu nay rằng UEFI bootkit chỉ dành riêng cho hệ thống Windows. Với sự phát triển này, người dùng Linux hiện phải đối mặt với một con đường khai thác mới tiềm tàng. Bootkit tận dụng chứng chỉ tự ký để thực thi tải trọng của nó, điều này hạn chế chức năng của nó trên các hệ thống có UEFI Secure Boot được bật. Tuy nhiên, nó vẫn có thể hoạt động nếu kẻ tấn công cài đặt được chứng chỉ gian lận dưới sự kiểm soát của chúng.

Ngoài việc bỏ qua Secure Boot, Bootkitty còn thao túng bộ nhớ của hạt nhân Linux trong quá trình khởi động, làm suy yếu các kiểm tra tính toàn vẹn. Trước khi GNU GRand Unified Bootloader (GRUB) được thực thi, bootkit sẽ chặn và vá các chức năng quan trọng đối với việc xác minh tính toàn vẹn. Chiến lược tấn công nhiều lớp này chứng minh sự hiểu biết tinh vi về UEFI và các thành phần bên trong của hệ thống Linux.

Nhắm mục tiêu vào Secure Boot và GRUB: Các kỹ thuật tiên tiến đang được áp dụng

Khi Secure Boot được bật, Bootkitty sẽ sửa đổi các giao thức xác thực UEFI để bỏ qua các kiểm tra tính toàn vẹn. Nó cũng vá các hàm khởi động GRUB hợp lệ để tránh bị phát hiện, đảm bảo hơn nữa khả năng thực thi các tải trọng không an toàn. Các bản vá này mở rộng đến quy trình giải nén của hạt nhân Linux, cho phép bootkit tải các mô-đun trái phép trong quá trình khởi động.

Để tạo điều kiện cho cuộc tấn công của mình, Bootkitty thay đổi biến môi trường LD_PRELOAD. Điều chỉnh này buộc quá trình khởi tạo Linux phải tải hai đối tượng chia sẻ ELF không xác định—được xác định là '/opt/injector.so' và '/init—do đó' mở rộng phạm vi của bootkit vào các hoạt động của hệ thống.

BCDropper và BCObserver: Một khuôn khổ lớn hơn?

Nghiên cứu về Bootkitty đã phát hiện ra một mô-đun hạt nhân chưa ký có khả năng liên quan có tên là BCDropper. Mô-đun này có khả năng triển khai một tệp nhị phân ELF có tên là BCObserver, sau đó tải một mô-đun hạt nhân chưa xác định khác khi hệ thống khởi động. Hoạt động dưới cùng một bút danh BlackCat, mô-đun bổ sung này thể hiện các chức năng đặc trưng của rootkit, chẳng hạn như ẩn tệp, quy trình và cổng mạng. Mặc dù có những khả năng tiên tiến này, các nhà nghiên cứu không tìm thấy bằng chứng nào liên kết hoạt động này với nhóm ransomware ALPHV/BlackCat.

Ý nghĩa đối với Bảo mật UEFI và Hệ thống Linux

Mặc dù vẫn được phân loại là bằng chứng khái niệm, Bootkitty báo hiệu một chương mới trong quá trình phát triển của UEFI bootkit, mở rộng phạm vi của chúng ra ngoài môi trường Windows. Sự phát triển này nhấn mạnh tầm quan trọng của việc chuẩn bị cho các mối đe dọa tiềm ẩn trong tương lai trong các hệ thống dựa trên Linux, vốn từ lâu được coi là ít bị tổn thương hơn trước các cuộc tấn công như vậy.

Sự trỗi dậy của Bootkitty cũng nhấn mạnh nhu cầu về các biện pháp bảo mật hệ thống cảnh giác, chẳng hạn như duy trì chương trình cơ sở được cập nhật, sử dụng chứng chỉ đáng tin cậy và bật Secure Boot bất cứ khi nào có thể. Bằng cách chứng minh tính khả thi của UEFI bootkits trên Linux, Bootkitty đóng vai trò như một lời cảnh tỉnh cho cả các chuyên gia an ninh mạng và người dùng Linux để củng cố khả năng phòng thủ của họ.