malemkhoang
Rìu Chiến
Bootkitty trở thành bộ khởi động UEFI đầu tiên được thiết kế cho hệ thống Linux. Được phát hiện bởi các nhà nghiên cứu ESET, nó nhắm mục tiêu vào một số phiên bản Ubuntu và có cách tiếp cận thử nghiệm. Phần mềm độc hại vô hiệu hóa xác minh chữ ký kernel và sử dụng các phương pháp nâng cao để vượt qua các cơ chế bảo mật.
Phát hiện gần đây đã làm rung chuyển bối cảnh an ninh mạng: Các nhà nghiên cứu đã xác định được bộ khởi động UEFI đầu tiên được thiết kế đặc biệt cho các hệ thống Linux, được gọi là Bootkitty bởi những người tạo ra nó. Phát hiện này đánh dấu một sự tiến triển đáng kể trong các mối đe dọa UEFI, vốn trước đây hầu như chỉ tập trung vào các hệ thống Windows. Mặc dù Phần mềm độc hại dường như đang trong giai đoạn chứng minh khái niệm, sự tồn tại của nó mở ra cánh cửa cho những mối đe dọa phức tạp hơn có thể xảy ra trong tương lai.
Trong những năm gần đây, Các mối đe dọa UEFI đã có sự tiến bộ đáng chú ý. Từ những bằng chứng khái niệm đầu tiên vào năm 2012 cho đến những trường hợp gần đây hơn như ESPecter và BlackLotus, cộng đồng bảo mật đã chứng kiến sự gia tăng về mức độ phức tạp của các cuộc tấn công này. Tuy nhiên, Bootkitty thể hiện một sự thay đổi quan trọng, chuyển sự chú ý sang các hệ thống Linux, cụ thể là một số phiên bản Ubuntu.
Tính năng kỹ thuật của Bootkitty:
Bootkitty nổi bật với khả năng kỹ thuật tiên tiến của nó. Phần mềm độc hại này sử dụng các phương pháp để vượt qua cơ chế bảo mật UEFI Secure Boot bằng cách vá các chức năng xác minh quan trọng trong bộ nhớ. Bằng cách này, nó quản lý để tải nhân Linux bất kể Secure Boot có được bật hay không.
Mục tiêu chính của Bootkitty bao gồm vô hiệu hóa xác minh chữ ký kernel và tải trước các tệp nhị phân ELF độc hại không xác định thông qua quá trình trong đó của Linux. Tuy nhiên, do sử dụng các mẫu mã không được tối ưu hóa và độ lệch cố định, hiệu quả của nó bị hạn chế ở một số ít cấu hình và phiên bản kernel và GRUB.
Điểm đặc biệt của phần mềm độc hại là bản chất thử nghiệm của nó: chứa các chức năng bị hỏng dường như nhằm mục đích thử nghiệm hoặc trình diễn nội bộ. Điều này, cùng với nó không có khả năng hoạt động trên các hệ thống có bật Khởi động an toàn ngay lập tức, cho thấy rằng nó vẫn đang trong giai đoạn phát triển ban đầu.
Cách tiếp cận theo mô-đun và khả năng liên kết với các thành phần khác:
Trong quá trình phân tích, các nhà nghiên cứu từ ESET Họ cũng xác định được một mô-đun hạt nhân chưa được ký tên là BCDropper, có khả năng được phát triển bởi cùng tác giả Bootkitty. Mô-đun này bao gồm các tính năng nâng cao như khả năng ẩn các tệp, quy trình và cổng đang mở, đặc điểm điển hình của rootkit.
BCdropper Nó cũng triển khai một nhị phân ELF có tên là BCObserver, tải một mô-đun hạt nhân khác chưa được xác định. Mặc dù mối quan hệ trực tiếp giữa các thành phần này và Bootkitty chưa được xác nhận nhưng tên và hành vi của chúng cho thấy có mối liên hệ.
Tác động của Bootkitty và các biện pháp phòng ngừa:
Mặc dù Bootkitty chưa gây ra mối đe dọa thực sự đối với hầu hết các hệ thống Linux, sự tồn tại của nó nhấn mạnh sự cần thiết phải chuẩn bị cho các mối đe dọa có thể xảy ra trong tương lai. Các chỉ số tương tác liên quan đến Bootkitty bao gồm:
Phát hiện gần đây đã làm rung chuyển bối cảnh an ninh mạng: Các nhà nghiên cứu đã xác định được bộ khởi động UEFI đầu tiên được thiết kế đặc biệt cho các hệ thống Linux, được gọi là Bootkitty bởi những người tạo ra nó. Phát hiện này đánh dấu một sự tiến triển đáng kể trong các mối đe dọa UEFI, vốn trước đây hầu như chỉ tập trung vào các hệ thống Windows. Mặc dù Phần mềm độc hại dường như đang trong giai đoạn chứng minh khái niệm, sự tồn tại của nó mở ra cánh cửa cho những mối đe dọa phức tạp hơn có thể xảy ra trong tương lai.
Trong những năm gần đây, Các mối đe dọa UEFI đã có sự tiến bộ đáng chú ý. Từ những bằng chứng khái niệm đầu tiên vào năm 2012 cho đến những trường hợp gần đây hơn như ESPecter và BlackLotus, cộng đồng bảo mật đã chứng kiến sự gia tăng về mức độ phức tạp của các cuộc tấn công này. Tuy nhiên, Bootkitty thể hiện một sự thay đổi quan trọng, chuyển sự chú ý sang các hệ thống Linux, cụ thể là một số phiên bản Ubuntu.
Tính năng kỹ thuật của Bootkitty:
Bootkitty nổi bật với khả năng kỹ thuật tiên tiến của nó. Phần mềm độc hại này sử dụng các phương pháp để vượt qua cơ chế bảo mật UEFI Secure Boot bằng cách vá các chức năng xác minh quan trọng trong bộ nhớ. Bằng cách này, nó quản lý để tải nhân Linux bất kể Secure Boot có được bật hay không.
Mục tiêu chính của Bootkitty bao gồm vô hiệu hóa xác minh chữ ký kernel và tải trước các tệp nhị phân ELF độc hại không xác định thông qua quá trình trong đó của Linux. Tuy nhiên, do sử dụng các mẫu mã không được tối ưu hóa và độ lệch cố định, hiệu quả của nó bị hạn chế ở một số ít cấu hình và phiên bản kernel và GRUB.
Điểm đặc biệt của phần mềm độc hại là bản chất thử nghiệm của nó: chứa các chức năng bị hỏng dường như nhằm mục đích thử nghiệm hoặc trình diễn nội bộ. Điều này, cùng với nó không có khả năng hoạt động trên các hệ thống có bật Khởi động an toàn ngay lập tức, cho thấy rằng nó vẫn đang trong giai đoạn phát triển ban đầu.
Cách tiếp cận theo mô-đun và khả năng liên kết với các thành phần khác:
Trong quá trình phân tích, các nhà nghiên cứu từ ESET Họ cũng xác định được một mô-đun hạt nhân chưa được ký tên là BCDropper, có khả năng được phát triển bởi cùng tác giả Bootkitty. Mô-đun này bao gồm các tính năng nâng cao như khả năng ẩn các tệp, quy trình và cổng đang mở, đặc điểm điển hình của rootkit.
BCdropper Nó cũng triển khai một nhị phân ELF có tên là BCObserver, tải một mô-đun hạt nhân khác chưa được xác định. Mặc dù mối quan hệ trực tiếp giữa các thành phần này và Bootkitty chưa được xác nhận nhưng tên và hành vi của chúng cho thấy có mối liên hệ.
Tác động của Bootkitty và các biện pháp phòng ngừa:
Mặc dù Bootkitty chưa gây ra mối đe dọa thực sự đối với hầu hết các hệ thống Linux, sự tồn tại của nó nhấn mạnh sự cần thiết phải chuẩn bị cho các mối đe dọa có thể xảy ra trong tương lai. Các chỉ số tương tác liên quan đến Bootkitty bao gồm:
- Các chuỗi được sửa đổi trong kernel: hiển thị bằng lệnh uname -v.
- Sự hiện diện của biến LD_PRELOAD trong kho lưu trữ /proc/1/environ.
- Khả năng tải các mô-đun hạt nhân chưa được ký: ngay cả trên các hệ thống đã bật Khởi động an toàn.
- Hạt nhân được đánh dấu là "bị nhiễm độc", cho thấy có thể bị giả mạo.
Để giảm thiểu rủi ro do loại phần mềm độc hại này gây ra, các chuyên gia khuyên bạn nên bật UEFI Secure Boot, cũng như đảm bảo rằng chương trình cơ sở, hệ điều hành và danh sách thu hồi UEFI đều được lưu trữ. đã cập nhật.
Một sự thay đổi mô hình trong các mối đe dọa UEFI:
Bootkitty không chỉ thách thức quan niệm cho rằng bộ khởi động UEFI chỉ dành riêng cho Windows, nhưng cũng làm nổi bật sự chú ý ngày càng tăng của tội phạm mạng đối với các hệ thống dựa trên Linux. Mặc dù vẫn đang trong giai đoạn phát triển nhưng sự xuất hiện của nó là một lời cảnh tỉnh để cải thiện tính bảo mật trong loại môi trường này.
Phát hiện này củng cố sự cần thiết phải chủ động giám sát và thực hiện các biện pháp biện pháp an ninh tiên tiến để giảm thiểu các mối đe dọa tiềm ẩn có thể khai thác lỗ hổng ở cấp độ chương trình cơ sở và quy trình khởi động.
Cập nhật 28/11/2024
Nguồn: [Ubunlog](https://vi.ubunlog.com/)
