Un 最近的發現震動了網路安全領域: 研究人員已經確定了第一個專為 Linux 系統設計的 UEFI bootkit,稱為 布吉蒂 由其創造者。這項發現標誌著 UEFI 威脅的重大演變,該威脅歷來幾乎完全集中在 Windows 系統上。雖然 該惡意軟體似乎處於概念驗證階段,它的存在為未來可能出現的更複雜的威脅打開了大門。
近年來, UEFI 威脅已取得顯著進展。 從 2012 年的首次概念驗證到最近的 ESPecter 和 BlackLotus 等案例,安全社群已經看到這些攻擊的複雜性不斷增加。然而,Bootkitty 代表了一個重要的變化,它將注意力轉移到 Linux 系統,特別是 Ubuntu 的某些版本。
Bootkitty 技術特點
布吉蒂 以其先進的技術能力而脫穎而出。 該惡意軟體透過修補關鍵的記憶體驗證功能來繞過 UEFI 安全啟動安全機制。這樣,無論安全啟動是否啟用,它都可以載入 Linux 核心。
Bootkitty 的主要目標包括 禁用核心簽名驗證 和預先載入 未知的惡意 ELF 二進位文件 透過過程 初始化 Linux 的。然而,由於使用了未最佳化的程式碼模式和固定偏移量,其有效性僅限於少量配置和核心版本,並且 GRUB.
惡意軟體的一個特點是其實驗性質: 包含似乎用於內部測試或演示的損壞功能。這連同其 無法操作 在開箱即用啟用安全啟動的系統上,表示它仍處於開發的早期階段。
模組化方法以及與其他組件的可能鏈接
在他們的分析過程中,研究人員來自 ESET 他們還發現了一個名為 BCDropper 的未簽名核心模組,該模組可能由同一位 Bootkitty 作者開發。此模組包括高級功能,例如隱藏打開的檔案、進程和連接埠的能力, Rootkit 的典型特徵。
BCD滴管器 它還部署了一個名為 BCObserver 的 ELF 二進位文件,該文件載入另一個尚未識別的核心模組。儘管這些元件和 Bootkitty 之間的直接關係尚未得到證實,但它們的名稱和行為表明存在聯繫。
Bootkitty 的影響與預防措施
儘管Bootkitty 尚未構成真正的威脅 對於大多數 Linux 系統來說,它的存在強調需要為未來可能的威脅做好準備。與 Bootkitty 相關的參與度指標包括:
- 內核中修改的字串: 透過命令可見
uname -v
. - 變數的存在
LD_PRELOAD
在檔案中/proc/1/environ
. - 能夠載入未簽署的核心模組: 即使在啟用了安全啟動的系統上也是如此。
- 內核標記為“受污染”,表示可能被篡改。
為了減輕此類惡意軟體帶來的風險,專家建議保持 UEFI 安全啟動啟用,並確保韌體、作業系統和 UEFI 撤銷清單處於啟用狀態。 更新。
UEFI 威脅的典範轉移
Bootkitty 不僅挑戰了 UEFI bootkit 是 Windows 獨有的觀念, 但同時也凸顯了 網路犯罪分子對基於 Linux 的系統越來越關注。儘管它仍處於開發階段,但它的出現為提高此類環境的安全性敲響了警鐘。
這項發現強調了主動監控和實施的必要性 先進的安全措施 減輕可能利用韌體和啟動進程級漏洞的潛在威脅。