Un Недавно откриће је потресло сцену сајбер безбедности: Истраживачи су идентификовали први УЕФИ бооткит посебно дизајниран за Линук системе, тзв Бооткитти од његових твораца. Ово откриће означава значајну еволуцију у УЕФИ претњама, које су се историјски фокусирале скоро искључиво на Виндовс системе. Мада изгледа да је малвер у фази доказа концепта, његово постојање отвара врата могућим софистициранијим претњама у будућности.
Последњих година УЕФИ претње су забележиле значајан напредак. Од првих доказа концепта у 2012. до новијих случајева као што су ЕСПецтер и БлацкЛотус, безбедносна заједница је приметила пораст сложености ових напада. Међутим, Бооткитти представља важну промену, преусмеравајући пажњу на Линук системе, посебно на неке верзије Убунтуа.
Бооткитти техничке карактеристике
Бооткитти истиче се по својим напредним техничким могућностима. Овај злонамерни софтвер користи методе да заобиђе УЕФИ Сецуре Боот безбедносне механизме тако што закрпи критичне функције верификације у меморији. На овај начин успева да учита Линук кернел без обзира да ли је безбедно покретање омогућено или не.
Главни циљ Бооткиттија укључује онемогући верификацију потписа кернела и предоптерећење непознате злонамерне ЕЛФ бинарне датотеке Кроз процес инит Линук-а. Међутим, због употребе неоптимизованих шаблона кода и фиксних одступања, његова ефикасност је ограничена на мали број конфигурација и верзија језгра и ГРУБ.
Посебност малвера је његова експериментална природа: садржи покварене функције које изгледају као да су намењене за интерно тестирање или демонстрације. Ово, заједно са својим неспособност за рад на системима са омогућеним Сецуре Боот из кутије, сугерише да је још увек у раној фази развоја.
Модуларни приступ и могуће везе са другим компонентама
Током своје анализе истраживачи из Есет Такође су идентификовали непотписани модул кернела под називом БЦДроппер, који су потенцијално развили исти аутори Бооткиттија. Овај модул укључује напредне функције као што је могућност сакривања отворених датотека, процеса и портова, Типичне карактеристике руткита.
БЦДроппер Такође примењује ЕЛФ бинарни фајл који се зове БЦОбсервер, који учитава још један још неидентификовани модул кернела. Иако директна веза између ових компоненти и Бооткиттија није потврђена, њихова имена и понашања указују на везу.
Бооткитти утицај и превентивне мере
Иако Бооткитти још не представља стварну претњу За већину Линук система, његово постојање наглашава потребу да буду спремни за могуће будуће претње. Индикатори ангажовања повезани са Бооткиттијем укључују:
- Стрингови измењени у језгру: видљиво командом
uname -v
. - Присуство променљиве
LD_PRELOAD
у архиву/proc/1/environ
. - Могућност учитавања непотписаних модула кернела: чак и на системима са омогућеним Сецуре Боот.
- Језгро је означено као „упрљано“, што указује на могуће неовлашћено мењање.
Да би ублажили ризик који представља ова врста малвера, стручњаци препоручују да УЕФИ Сецуре Боот остане омогућен, као и да се уверите да су фирмвер, оперативни систем и листа опозива УЕФИ ажуриран.
Промена парадигме у УЕФИ претњама
Бооткитти не само да изазива перцепцију да су УЕФИ бооткити ексклузивни за Виндовс, али и истиче све већа пажња сајбер криминалаца према системима заснованим на Линуку. Иако је још увек у фази развоја, његов изглед је позив на буђење за побољшање безбедности у оваквом окружењу.
Овај налаз појачава потребу за проактивним надзором и имплементацијом напредне мере безбедности за ублажавање потенцијалних претњи које могу да искористе рањивости на нивоу фирмвера и процеса покретања.