Bootkitty是第一个瞄准Linux的引导加载程序

研究人员发现首个针对 Linux 系统引导进程的恶意软件

研究人员首次发现了一款能够感染 Linux 系统引导进程的恶意软件。

"Bootkitty"是韩国学生在网络安全培训项目中开发的概念验证代码。尽管尚未完全完成，但这款引导工具（bootkit）已经可以正常运行，并且还包含了一个针对统一可扩展固件接口（UEFI）生态系统中几个所谓的 LogoFAIL 漏洞的漏洞利用，这些漏洞是 Binarly 研究公司在 2023 年 11 月披露的。

一个新颖的概念验证

引导工具在固件层级运行，在操作系统加载之前执行，这使得它们可以绕过安全启动过程对系统免受启动期间恶意软件的保护。此类恶意软件可以在系统重启、重新安装操作系统，甚至更换硬盘等部件后依然持续存在。

上个月在 VirusTotal 上发现样本后对 Bootkitty 进行分析的 ESET 研究人员表示，这是他们遇到的首个针对 Linux 的 UEFI 引导工具。这意味着一个重要的转变，因为到目前为止，引导工具——其中最臭名昭著的包括 BlackLotus 和 FinSpy——一直都是针对 Windows 系统的。

"Bootkitty 的主要目标是禁用内核的签名验证功能，并通过 Linux 初始化进程（这是 Linux 内核在系统启动期间执行的第一个进程）预加载两个尚未确定的 ELF 二进制文件，"ESET 研究人员 Martin Smolar 和 Peter Strycek 写道。

同样分析 Bootkitty 的 Binarly 发现，该恶意软件包含了对 CVE-2023-40238 的漏洞利用，这是该公司去年报告的几个 UEFI 图像解析 LogoFAIL 漏洞中的一个。Binarly 表示，Bootkitty 利用了嵌入在位图（BMP）文件中的 shellcode 来绕过安全启动，并使操作系统信任该恶意软件。该公司确定了多个厂商的 Linux 系统容易受到此漏洞影响，包括联想、富士通、惠普和宏碁。

"虽然这看起来更像是一个概念验证，而非活跃威胁，但 Bootkitty 标志着攻击者将引导工具攻击扩展到 Windows 生态系统之外的重大转变，"Binarly 写道。"操作系统引导加载程序呈现了一个被防御者经常忽视的广阔攻击面，而且复杂性的持续增长只会让情况变得更糟。"

UEFI——以及在此之前的 BIOS 生态系统——近年来一直是攻击者的热门目标，因为在这一层级运行的恶意软件可以在受感染系统中几乎保持不被察觉。但对 UEFI 安全性的担忧确实在 BlackLotus 出现后达到了顶峰，这是第一个即使在完全修补的 Windows 系统上也能绕过安全启动保护的恶意软件。

该恶意软件利用了 UEFI 安全启动过程中的两个漏洞，CVE-2022-2189（也称为 Baton Drop）和 CVE-2023-24932，以近乎不可检测和不可移除的方式安装自身。这种恶意软件相对容易获得，加上微软在解决此问题上的困难，促使美国网络安全与基础设施安全局（CISA）呼吁改进 UEFI 保护。

"根据最近对 BlackLotus 等 UEFI 恶意软件的事件响应，网络安全社区和 UEFI 开发者似乎仍处于学习模式，"CISA 当时指出。"尤其是，UEFI 安全启动开发者尚未全面实施能够实现补丁分发的公钥基础设施（PKI）实践。"

功能性引导工具

ESET 发现 Bootkitty 具有在内存中修改通常用于验证 GRand 统一引导加载程序（GRUB）完整性的功能，该程序负责在启动期间加载 Linux 内核。然而，Bootkitty 试图在内存中修改的特定函数仅在相对较少的 Linux 设备上受支持，这表明该恶意软件更像是概念验证，而非活跃威胁。支持这一理论的是代码中存在几个未使用的工件，包括两个在执行期间打印 ASCII 艺术和文本的函数，ESET 如是说。

开发这款引导工具的韩国学生在安全厂商发布分析报告后与 ESET 取得了联系。ESET 引用这些学生的话说，他们创建这个恶意软件是为了提高人们对 Linux 系统可能出现引导工具的意识。据悉，这些恶意软件的细节本应在未来的一次会议演讲中公开。不过，几个引导工具样本最终被上传到了 VirusTotal。

https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/