导 读
网络安全研究人员揭示了第一个专为 Linux 系统设计的统一可扩展固件接口 (UEFI)启动套件。
该bootkit被其创建者称为 BlackCat,称为Bootkitty,被评估为概念验证 (PoC),没有证据表明它已在现实世界的攻击中使用。它也被称为IranuKit,于 2024 年 11 月 5 日上传到 VirusTotal 平台。
在过去的几年中,UEFI 威胁形势,尤其是 UEFI 启动套件的威胁形势,发生了重大变化。一切始于Andrea Allievi 于 2012 年描述的第一个 UEFI 启动套件概念验证 (PoC),它作为在基于 UEFI 的现代 Windows 系统上部署启动套件的演示,随后出现了许多其他 PoC(EfiGuard、Boot Backdoor、UEFI-bootkit)。
几年后,研究人员才在野外发现了前两个真正可用的 UEFI 启动套件(ESPecter,2021 ESET;FinSpy bootkit,2021 Kaspersky)。又过了两年,臭名昭著的BlackLotus出现了——这是第一个能够绕过最新系统上的 UEFI 安全启动的 UEFI 启动套件——(2023 年,ESET)。
这些众所周知的 bootkit 有一个共同点,就是它们专门针对 Windows 系统。
ESET最新发现第一个为 Linux 系统设计的 UEFI bootkit,其创建者将其命名为 Bootkitty。
目前,ESET研究人员认为这个 bootkit 仅仅是一个初步的概念验证,根据遥测数据,它还没有被广泛部署。它的存在强调了一个重要的信息:UEFI bootkit 不再仅限于 Windows 系统。
ESET 研究人员 Martin Smolár 和 Peter Strýček 表示:“该 Bootkit 的主要目标是禁用内核的签名验证功能,并通过 Linux init 进程(这是 Linux 内核在系统启动期间执行的第一个进程)预加载两个尚未知晓的 ELF 二进制文件。”
值得注意的是,Bootkitty 由自签名证书签名,因此除非已安装攻击者控制的证书,否则无法在启用了 UEFI 安全启动的系统上执行。
Bootkitty执行流程
无论 UEFI 安全启动状态如何,bootkit 主要用于在内存中启动 Linux 内核和补丁,在执行GNU GRand Unified Bootloader ( GRUB ) 之前对函数的完整性验证做出响应。
具体来说,如果安全启动被启用,它会继续从 UEFI 身份验证协议中挂钩两个函数,能够在执行期间将特殊字符串打印到屏幕上。第一个函数的输出如下图所示,可以打印 ASCII 艺术,我们认为这代表了 bootkit 的可能名称:Bootkitty。
第二个函数可以打印文本,其中包含可能的 bootkit 作者和其他可能以某种方式参与其开发的人员的列表。
每次启动时,Bootkitty 都会在屏幕上打印下图所示的字符串。
内核模块的作者以 BlackCat 命名,它实现了其他与 rootkit 相关的功能,例如隐藏文件、进程和打开端口。
目前尚无证据表明该软件与 ALPHV/BlackCat 勒索软件组织存在关联。这是因为 BlackCat 勒索软件是安全研究人员命名,Bootkitty 是用 C 语言开发,而自称 ALPHV的勒索软件组织,目前只用 Rust 语言开发其恶意软件。
挂勾函数可以绕过 UEFI 完整性检查。随后,它还会修补合法 GRUB 引导加载程序中的三个不同函数,以绕过其他完整性验证。
ESET表示,对 bootkit 的调查还发现了一个可能相关的未签名内核模块,该模块能够部署一个名为 BCDropper 的 ELF 二进制文件,该二进制文件会在系统启动后加载另一个尚未知晓的内核模块。
研究人员表示:“无论是否是概念验证,Bootkitty 都标志着 UEFI 威胁领域的一个有趣进步,打破了现代 UEFI 启动套件是 Windows 独有威胁的观点。”
尽管上传到 VirusTotal 的当前版本目前对大多数 Linux 系统并不构成真正的威胁,但它强调了为潜在未来威胁做好准备的必要性。
为了保护您的 Linux 系统免受此类威胁,请确保启用了 UEFI 安全启动,确保系统固件和操作系统升级到最新,以及 UEFI 撤销列表也是最新。
技术报告:https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/
新闻链接:
https://thehackernews.com/2024/11/researchers-discover-bootkitty-first.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
APT-C-60 黑客在 SpyGlace 恶意软件活动中利用 StatCounter 和 Bitbucket
https://thehackernews.com/2024/11/apt-c-60-exploits-wps-office.html
俄罗斯网络间谍入侵目标街对面的大楼,实施 Wi-Fi 攻击
https://www.securityweek.com/russian-cyberspies-hacked-building-across-street-from-target-for-wi-fi-attack/
俄罗斯黑客组织Romcom利用0day漏洞攻击 Firefox、Tor 用户
https://www.pcmag.com/news/russian-hackers-used-zero-day-attack-to-hit-firefox-tor-users
与俄罗斯有关的 APT TAG-110 的目标是欧洲和亚洲
https://securityaffairs.com/171343/apt/tag-110-targets-asia-europe.html
Gelsemium黑客组织利用新型间谍恶意软件攻击 Linux 系统
https://therecord.media/china-hackers-linux-malware-target
趋势科技发布APT 组织 Earth Estries 的活动报告
https://www.trendmicro.com/en_us/research/24/k/earth-estries.html
一般威胁事件
General Threat Incidents
黑客滥用流行的 Godot 游戏引擎感染数千台电脑进行加密货币挖矿
https://www.bleepingcomputer.com/news/security/new-godloader-malware-infects-thousands-of-gamers-using-godot-scripts/
每月 3,000 美元的 macOS 恶意软件“Banshee Stealer”源代码被泄露
https://www.securityweek.com/source-code-of-3000-a-month-macos-malware-banshee-stealer-leaked/
黑色星期五前夕,Skimmer 恶意软件瞄准 Magento 网站
https://www.darkreading.com/application-security/sneaky-skimmer-malware-magento-sites-black-friday
应急车辆灯可能会破坏汽车的自动驾驶系统
https://www.wired.com/story/emergency-vehicle-lights-can-screw-up-a-cars-automated-driving-system/
研究人员发现“Bootkitty”——第一个针对 Linux 内核的 UEFI Bootkit
https://thehackernews.com/2024/11/researchers-discover-bootkitty-first.html
漏洞事件
Vulnerability Incidents
ProjectSend 开源文件共享应用程序存在的严重漏洞正被积极利用
https://thehackernews.com/2024/11/critical-flaw-in-projectsend-under.html
VMware 修复了 Aria Operations 产品中的五个漏洞
https://securityaffairs.com/171472/security/vmware-fixed-five-vulnerabilitiesaria-operations.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):研究人员发现“Bootkitty”——第一个针对 Linux 内核的 UEFI Bootkit
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论