安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
2023年ESET发现了一例绕过系统安全启动的UEFI BootKit攻击样本,被将它命名为黑莲花BlackLotus,笔者第一时间对该攻击样本进行了详细的跟踪分析,发现该样本存在多种反调试和反虚拟机技巧,通过分析发现该攻击样本主要利用了CVE-2022-21894漏洞来绕过系统启动安全检测。
近日ESET又发现了一例针对Linux系统的UEFI BootKit攻击样本并将它命名为Bootkitty,ESET最初是从VT上捕获到相关样本,2024年11月一个名为bootkit.efi的未知UEFI样本被上传到VT上面,ESET随后针对该样本进行了跟踪分析并发布了报告,报告链接地址:
https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/
笔者参考ESET的报告对该Linux UEFI BootKit攻击样本进行了一些相关分析,分享出来供大家参考学习。
样本分析
1.bootkit.efi使用了自签名证书进行签名,证书的相关信息,如下所示:
2.查看字符串,可以得出该攻击样本的代号、内置创建者以及代码相关信息,如下所示:
原文始发于微信公众号(安全分析与研究):Linux UEFI BootKit样本分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论