Bootkitty 恶意软件
网络安全研究人员公布了有史以来第一个专为 Linux 系统设计的统一可扩展固件接口 (UEFI) 启动套件。这项名为 Bootkitty 的新开发代表了网络威胁格局的重大转变,传统上 UEFI 启动套件主要与 Windows 平台相关。
目录
Bootkitty:概念验证还是新兴威胁?
Bootkitty 于 2024 年 11 月 5 日被发现,据信是一种概念验证 (PoC),而非主动部署的威胁。它也被称为 IranuKit,目前没有证据表明它在实际攻击中使用。该 bootkit 由一位以别名 BlackCat 运营的开发人员创建,其主要目的是在 Linux 初始化过程中禁用 Linux 内核签名验证,同时预加载两个尚未确定的 ELF 二进制文件。该过程是系统启动期间内核的起点,对 Linux 的运行安全至关重要。
利用 Linux 的 UEFI:风险的新维度
Bootkitty 的出现挑战了长期以来 UEFI bootkit 只限于 Windows 系统这一观点。随着这一发展,Linux 用户现在面临着一条潜在的新攻击途径。bootkit 利用自签名证书来执行其有效负载,这限制了其在启用 UEFI 安全启动的系统上的功能。但是,如果攻击者设法安装受其控制的欺诈性证书,它仍然可以运行。
除了绕过安全启动之外,Bootkitty 还会在启动过程中操纵 Linux 内核的内存,破坏完整性检查。在执行 GNU GRand Unified Bootloader (GRUB) 之前,bootkit 会拦截并修补完整性验证的关键功能。这种多层攻击策略表明了对 UEFI 和 Linux 系统内部的深入了解。
针对安全启动和 GRUB:实际使用的高级技术
启用安全启动后,Bootkitty 会修改 UEFI 身份验证协议以绕过完整性检查。它还会修补合法的 GRUB 引导加载程序功能以避免被检测到,从而进一步确保其能够执行不安全的有效负载。这些修补程序扩展到 Linux 内核的解压缩过程,使 bootkit 能够在启动期间加载未经授权的模块。
为了便于攻击,Bootkitty 会更改环境变量 LD_PRELOAD。此调整会强制 Linux 初始化过程加载两个未知的 ELF 共享对象(标识为“/opt/injector.so”和“/init”),从而将 bootkit 的范围扩展到系统操作中。
BCDropper 和 BCObserver:更大的框架?
对 Bootkitty 的研究发现了一个可能相关的未签名内核模块,名为 BCDropper。此模块能够部署名为 BCObserver 的 ELF 二进制文件,而后者又会在系统启动时加载另一个未识别的内核模块。这个附加模块以相同的 BlackCat 假名运行,具有 rootkit 的典型功能,例如隐藏文件、进程和网络端口。尽管具有这些高级功能,但研究人员尚未发现任何证据表明此活动与 ALPHV/BlackCat 勒索软件组织有关。
对 UEFI 安全和 Linux 系统的影响
尽管 Bootkitty 仍被归类为概念验证,但它标志着 UEFI 启动套件演进的新篇章,将其范围扩展到 Windows 环境之外。这一发展凸显了为基于 Linux 的系统未来潜在威胁做好准备的重要性,长期以来,Linux 系统被认为不太容易受到此类攻击。
Bootkitty 的兴起也凸显了对系统安全措施的警惕性,例如维护更新的固件、使用受信任的证书以及尽可能启用安全启动。通过展示 UEFI 启动套件在 Linux 上的可行性,Bootkitty 为网络安全专业人员和 Linux 用户敲响了警钟,提醒他们加强防御。
