straživači cyber sigurnosti bacili su svjetlo na ono što je opisano kao prvi bootkit Unified Extensible Firmware Interface (UEFI) dizajniran za Linux sisteme.
Nazvan Bootkitty od strane njegovih kreatora koji se zovu BlackCat, bootkit se procjenjuje kao dokaz koncepta (PoC) i nema dokaza da je korišten u napadima u stvarnom svijetu. Takođe praćen kao IranuKit , postavljen je na platformu VirusTotal 5. novembra 2024.
“Glavni cilj bootkit-a je onemogućiti funkciju provjere potpisa kernela i unaprijed učitati dvije još nepoznate ELF binarne datoteke putem Linux init procesa (što je prvi proces koji Linux kernel izvršava tokom pokretanja sistema)”, istraživači ESET-a Martin Smolár i Peter Strýček je rekao .
Razvoj je značajan jer najavljuje promjenu u okruženju cyber prijetnji gdje UEFI bootkiti više nisu ograničeni samo na Windows sisteme .
Vrijedi napomenuti da je Bootkitty potpisan samopotpisanim certifikatom i zbog toga se ne može izvršiti na sistemima s omogućenim UEFI Secure Boot osim ako certifikat koji kontroliše napadač nije već instaliran.
Bez obzira na UEFI Secure Boot status, bootkit je uglavnom dizajniran da pokrene Linux kernel i zakrpi u memoriji odgovor funkcije za verifikaciju integriteta prije nego što se izvrši GNU GRand Unified Bootloader ( GRUB ).
Konkretno, nastavlja sa spajanjem dvije funkcije iz UEFI protokola za autentifikaciju ako je Secure Boot omogućeno na takav način da se zaobilaze UEFI provjere integriteta. Nakon toga, on takođe zakrpi tri različite funkcije u legitimnom GRUB pokretačkom programu kako bi zaobišao druge provjere integriteta.
Takođe je dizajniran da ometa normalno funkcioniranje procesa dekompresije Linux kernela kako bi se omogućilo malicioznom softveru da učita malicozne module. Na kraju, ali ne i najmanje važno, modificira varijablu okruženja LD_PRELOAD tako da se dva nepoznata ELF dijeljena objekta (“/opt/injector.so” i “/init”) učitavaju kada se pokrene init proces.
Slovačka kompanija za cyber sigurnost rekla je da je njena istraga o bootkitu takođe dovela do otkrića vjerovatno povezanog nepotpisanog modula kernela kodnog imena BCDropper koji je sposoban za implementaciju ELF binarnog pod nazivom BCObserver koji učitava drugi, još uvijek nepoznati modul kernela nakon pokretanja sistema.
Modul kernela, koji takođe sadrži BlackCat kao ime autora, implementira druge funkcionalnosti vezane za rootkit kao što su skrivanje datoteka, procesa i otvaranje portova. U ovoj fazi nema dokaza koji bi ukazivali na povezanost sa ALPHV/BlackCat ransomware grupom.
“Bilo da je dokaz koncepta ili ne, Bootkitty označava zanimljiv pomak naprijed u okruženju prijetnji UEFI, razbijajući uvjerenje da su moderni UEFI bootkiti prijetnja isključivo za Windows”, rekli su istraživači, dodajući da “naglašava neophodnost pripreme za potencijalne buduće prijetnje.”
Izvor:The Hacker News