Bootkitty: Първият в историята UEFI бууткит за Linux
Налице е напълно нов клас злотворен програмен продукт...
Емил Василев 20:03 | 27.11.2024 2 СподелиНай-четени
IT НовиниДаниел Десподов - 13:56 | 25.11.2024Пробив: електрическото задвижване на Mahle може да работи непрестанно при 92% от оптималната изходна мощ
IT НовиниЕмил Василев - 14:00 | 25.11.2024Китайски учени са създали сходство на АК-47 с нулев обратен тласък, който може да се употребява от съвсем всеки дрон
IT НовиниДаниел Маринов - 20:16 | 26.11.2024НАСА разгласява зашеметяващо изображение на галактиката Сомбреро, снимано от JWST
Емил Василевhttps://www.kaldata.com/Изследователи в региона на киберсигурността оповестиха за основаването на първия по рода си UEFI бутткит за Linux-базирани системи. Според специалистите инструментът, наименуван Bootkitty се смята за доказателство за концепцията „ proof-of-concept “ (PoC) и към момента не е употребен в действителни офанзиви. Bootkitty е прочут също като IranuKit и е качен за първи път в платформата VirusTotal на 5 ноември 2024 година
Proof of Concept (PoC) съставлява използване на даден способ и демонстрирането му на процедура, с цел да се потвърди, че дадена идея или доктрина работи.
Основната задача на Bootkitty е да деактивира функционалността за инспекция на подписа на ядрото на Linux и да зареди авансово два ELF файла посредством процеса init, който се извършва първи при пускане на системата. Според специалистите на ESET функционалността на Bootkitty съставлява съществено предизвикателство за киберсигурността.
Този бууткит употребява самоподписан документ, което не му разрешава да работи на системи с задействан Secure Boot, в случай че нападателите не са конфигурирали авансово следен документ. Въпреки това, даже и при задействана Secure Boot функционалност, Bootkitty е в положение да модифицира функционалностите за инспекция на целостта на ядрото в паметта, преди да започва зареждащия GRUB модул.
По този метод, в случай че Secure Boot е позволен, Bootkitty се свързва с две функционалности на UEFI протоколите за засвидетелствуване, заобикаляйки инспекциите за целокупност. След това той модифицира три функционалности в зареждащия GRUB модул, което му разрешава да пренебрегва спомагателни инспекции за сигурност. Всичко това показва сериозна накърнимост в актуалните системи.
Разследването на ESET разкри обвързван неподписан модул на ядрото, който разпростира ELF двоичен файл, наименуван BCDropper. Този файл зарежда различен незнаен модул на ядрото след пускане на системата. Функциите на модула включват скриване на файлове и процеси и отваряне на мрежови портове, което е типично за руткитовете.
Експертите акцентират, че Bootkitty разчупва стандарта, съгласно който UEFI руткитовете заплашват единствено системите, основани на Windows и показва нуждата от подготовка за нови закани. Това изобретение може да бъде насочна точка за по-нататъшно развиване на сигурността на Linux платформите.
За да предпазите системите си с Linux от такива закани, уверете се, че е задействана функционалността UEFI Secure Boot, че систематичният ви фърмуер и операционната система са обновени, както и че описът с изключения на UEFI е обновен.
