Un Son keşif siber güvenlik sahnesini sarstı: Araştırmacılar, Linux sistemleri için özel olarak tasarlanmış ilk UEFI önyükleme kitini belirlediler. Bootkitty yaratıcıları tarafından. Bu bulgu, tarihsel olarak neredeyse yalnızca Windows sistemlerine odaklanan UEFI tehditlerinde önemli bir evrime işaret ediyor. Rağmen Kötü amaçlı yazılımın kavram kanıtı aşamasında olduğu görülüyorvarlığı gelecekte daha karmaşık olası tehditlere kapı açmaktadır.
Son yıllarda UEFI tehditleri dikkate değer ilerleme kaydetti. 2012'deki ilk kavram kanıtlarından ESPecter ve BlackLotus gibi daha yeni vakalara kadar, güvenlik topluluğu bu saldırıların karmaşıklığının arttığını gördü. Ancak Bootkitty, dikkatleri Linux sistemlerine, özellikle de Ubuntu'nun bazı sürümlerine kaydıran önemli bir değişikliği temsil ediyor.
Bootkitty'nin Teknik Özellikleri
Bootkitty gelişmiş teknik yetenekleriyle öne çıkıyor. Bu kötü amaçlı yazılım, kritik bellek içi doğrulama işlevlerine yama uygulayarak UEFI Güvenli Önyükleme güvenlik mekanizmalarını atlamak için yöntemler kullanır. Bu şekilde Güvenli Önyüklemenin etkin olup olmamasına bakılmaksızın Linux çekirdeğini yüklemeyi başarır.
Bootkitty'nin ana hedefi şunları içerir: çekirdek imza doğrulamasını devre dışı bırak ve önyükleme bilinmeyen kötü amaçlı ELF ikili dosyaları Süreç boyunca init Linux'un. Bununla birlikte, optimize edilmemiş kod kalıplarının ve sabit dengelemelerin kullanılması nedeniyle etkinliği az sayıda konfigürasyon ve çekirdek sürümüyle sınırlıdır ve GRUB.
Kötü amaçlı yazılımın bir özelliği deneysel doğasıdır: dahili test veya demolar için tasarlanmış gibi görünen bozuk işlevler içerir. Bu, onunla birlikte çalışamama Güvenli Önyüklemenin kutudan çıktığı haliyle etkin olduğu sistemlerde, geliştirmenin hala erken aşamalarında olduğunu gösteriyor.
Modüler bir yaklaşım ve diğer bileşenlerle olası bağlantılar
Analizleri sırasında araştırmacılar ESET Ayrıca, potansiyel olarak aynı Bootkitty yazarları tarafından geliştirilen, BCDropper adında imzasız bir çekirdek modülünü de belirlediler. Bu modül, açık dosyaları, işlemleri ve bağlantı noktalarını gizleme yeteneği gibi gelişmiş özellikleri içerir. Bir rootkit'in tipik özellikleri.
BCDamlalık Ayrıca, henüz tanımlanamayan başka bir çekirdek modülünü yükleyen BCObserver adlı bir ELF ikili dosyasını da dağıtır. Bu bileşenler ile Bootkitty arasında doğrudan bir ilişki doğrulanmamış olsa da adları ve davranışları bir bağlantı olduğunu düşündürmektedir.
Bootkitty Etkisi ve Önleyici Tedbirler
Bootkitty'ye rağmen henüz gerçek bir tehdit oluşturmuyor Çoğu Linux sistemi için varlığı, gelecekteki olası tehditlere karşı hazırlıklı olma ihtiyacının altını çiziyor. Bootkitty ile ilişkili etkileşim göstergeleri şunları içerir:
- Çekirdekte değiştirilen dizeler: komutuyla görülebilir
uname -v
. - Değişkenin varlığı
LD_PRELOAD
arşivde/proc/1/environ
. - İmzasız çekirdek modüllerini yükleme yeteneği: Güvenli Önyüklemenin etkin olduğu sistemlerde bile.
- Çekirdekte "kusurlu" olarak işaretlenmiş olması olası bir kurcalamayı işaret ediyor.
Bu tür kötü amaçlı yazılımların oluşturduğu riski azaltmak için uzmanlar, UEFI Güvenli Önyüklemeyi etkin tutmanın yanı sıra donanım yazılımının, işletim sisteminin ve UEFI iptal listesinin de güncel olduğundan emin olmanızı öneriyor. güncellenmiş.
UEFI tehditlerinde paradigma değişikliği
Bootkitty yalnızca UEFI önyükleme kitlerinin Windows'a özel olduğu algısına meydan okumakla kalmıyor, ama aynı zamanda şunu da vurguluyor: Siber suçluların Linux tabanlı sistemlere olan ilgisi artıyor. Halen geliştirme aşamasında olmasına rağmen, görünümü bu tür ortamlarda güvenliği artırmak için bir uyandırma çağrısıdır.
Bu bulgu proaktif sürveyans ve uygulama ihtiyacını güçlendirmektedir. gelişmiş güvenlik önlemleri Ürün yazılımı ve önyükleme işlemi düzeyindeki güvenlik açıklarından yararlanabilecek potansiyel tehditleri azaltmak için.