Bootkitty 惡意軟體
網路安全研究人員推出了首款專門針對 Linux 系統設計的統一可擴充韌體介面 (UEFI) 啟動套件。這一名為 Bootkitty 的新開發代表了網路威脅格局的重大轉變,傳統上 UEFI Bootkit 主要與 Windows 平台相關。
目錄
Bootkitty:概念驗證還是新出現的威脅?
Bootkitty 於 2024 年 11 月 5 日被發現,據信是一種概念驗證 (PoC),而不是主動部署的威脅。也稱為IranuKit,目前沒有證據表明它在現實世界的攻擊中使用。該 bootkit 由別名 BlackCat 的開發人員創建,其主要目的是停用 Linux 核心簽名驗證,同時在 Linux 初始化過程中預先載入兩個尚未識別的 ELF 二進位檔案。該進程作為系統啟動時核心的起點,對於Linux的運行安全至關重要。
利用 Linux 的 UEFI:新的風險維度
Bootkitty 的出現挑戰了長期以來 UEFI bootkit 是 Windows 系統獨有的觀念。隨著這一發展,Linux 用戶現在面臨著一種潛在的新的利用途徑。 Bootkit 利用自簽章憑證來執行其有效負載,這限制了其在啟用 UEFI 安全啟動的系統上的功能。然而,如果攻擊者設法在他們的控制下安裝欺詐性證書,它仍然可以運行。
除了繞過安全啟動之外,Bootkitty 還會在啟動過程中操縱 Linux 核心的內存,從而破壞完整性檢查。在執行 GNU GRand 統一引導程式 (GRUB) 之前,引導套件會攔截並修補對完整性驗證至關重要的功能。這種多層攻擊策略展示了對 UEFI 和 Linux 系統內部結構的深入理解。
針對安全啟動和 GRUB:實際應用中的高階技術
啟用安全啟動後,Bootkitty 會修改 UEFI 驗證協定以繞過完整性檢查。它還修補合法的 GRUB 引導程式功能以避免檢測,進一步確保其執行不安全有效負載的能力。這些補丁擴展到Linux核心的解壓縮過程,使bootkit能夠在啟動期間載入未經授權的模組。
為了方便攻擊,Bootkitty 改變了環境變數 LD_PRELOAD。此調整強制 Linux 初始化過程載入兩個未知的 ELF 共享物件(標識為「/opt/injector.so」和「/init」),從而將 bootkit 的範圍擴展到系統操作。
BCDropper 和 BCObserver:更大的框架?
對 Bootkitty 的研究發現了一個可能相關的未簽名核心模組,名為 BCDropper。該模組能夠部署一個名為 BCObserver 的 ELF 二進位文件,而該二進位檔案又會在系統啟動時載入另一個未識別的核心模組。這個附加模組以相同的 BlackCat 筆名運行,具有 Rootkit 的典型功能,例如隱藏檔案、進程和網路連接埠。儘管具有這些先進的功能,研究人員尚未發現任何證據表明此活動與 ALPHV/BlackCat 勒索軟體組織有關。
對 UEFI 安全性和 Linux 系統的影響
儘管仍被歸類為概念驗證,但 Bootkitty 標誌著 UEFI bootkit 發展的新篇章,將其影響範圍擴展到 Windows 環境之外。這項發展強調了為基於 Linux 的系統未來潛在威脅做好準備的重要性,長期以來,人們一直認為 Linux 系統不容易受到此類攻擊。
Bootkitty 的興起也凸顯了對系統安全措施保持警覺的必要性,例如維護更新的韌體、使用可信任憑證以及盡可能啟用安全啟動。透過展示 UEFI bootkit 在 Linux 上的可行性,Bootkitty 為網路安全專業人員和 Linux 用戶敲響了警鐘,以加強他們的防禦。
