一、事件概述
随着UEFI威胁领域的不断演变,ESET研究人员最近披露了一个重大发现——首个针对Linux系统UEFI启动包的攻击Bootkitty。这一发现打破了现代UEFI启动包仅针对Windows系统的固有观念,为Linux系统安全敲响了警钟。Bootkitty是一个UEFI启动包,其主要目标是禁用内核的签名验证功能,并通过Linux初始化进程预加载两个未知的ELF二进制文件。ESET研究人员在事件分析中发现了一个可能相关的未签名内核模块,该模块被命名为“BCDropper”,它会部署了一个ELF程序,负责加载另一个在事件分析期间未知的内核模块。Bootkitty于2024年11月被上传至VirusTotal,初步分析确认这是由其创建者命名的Bootkitty UEFI启动包,并且是首个针对Linux的UEFI启动包,特别是针对几个Ubuntu版本。Bootkitty通过自签名证书签名,因此无法在启用了UEFI Secure Boot的系统上运行,除非攻击者的证书已被安装。Bootkitty旨在无论是否启用UEFI Secure Boot,都能无缝启动Linux内核,因为它在内存中修补了负责完整性验证的必要功能,这是在执行GRUB之前进行的。bootkit.efi包含的许多特征迹象表明,这更像是一个概念验证,而不是活跃攻击者的具体攻击实施工作。
图1Bootkitty执行流程图
二、技术分析过程细节描述:
(1)Bootkitty的执行与GRUB引导程序的篡改:
(2)Linux内核图像解压挂钩:
(3)对解压后的Linux内核图像的修补:
(4)BCDropper和BCObserver的发现:
三、事件影响与改善措施
参考链接:
https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/
原文始发于微信公众号(白泽安全实验室):首个针对Linux系统UEFI启动包的攻击“Bootkitty”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论