Bootkitty: το πρώτο bootkit UEFI για Linux

Darkcrizt

4 λεπτά

bootkitty-uefi-linux-backdoor

πριν ΛΙΓΕΣ μερες Η ESET ανακοίνωσε τα νέα για την πρώτη απόδειξη της ιδέας UEFI bootkit για Linux, που ονομάζεται «Bootkitty«, αυτό το bootkit είναι μέρος ενός έργου που δημιουργήθηκε από μαθητές κυβερνοασφάλειας από το πρόγραμμα εκπαίδευσης Best of the Best (BoB) της Κορέας.

Bootkitty, ως τέτοιο, Είναι μια προηγμένη απειλή που εγκαθίσταται ως αντικατάσταση του bootloader GRUB σε συστήματα Linux, χρησιμοποιώντας το περιβάλλον UEFI να διατηρήσει τον έλεγχο του συστήματος κρυφά. Αυτό το κακόβουλο λογισμικό, το οποίο είναι το πρώτο bootkit UEFI που έχει σχεδιαστεί για Linux, φορτώνει κακόβουλα στοιχεία στον πυρήνα για να διασφαλίσει την επιμονή.

Λειτουργία Bootkitty

  1. Αντικατάσταση του GRUB:
    Το πρώτο βήμα του bootkit είναι η αντικατάσταση του τυπικού φορτωτή εκκίνησης, grubx64.efi, στο διαμέρισμα συστήματος EFI, επιτρέποντάς του να εκκινήσει το κακόβουλο ωφέλιμο φορτίο κατά την εκκίνηση του συστήματος.
  2. GRUB Αλλαγή στη μνήμη:
    Αφού ενεργοποιηθεί το bootkit, φορτώνει τον νόμιμο φορτωτή εκκίνησης GRUB2 στη μνήμη, αλλά εισάγει τροποποιήσεις για την απενεργοποίηση του ελέγχου ακεραιότητας σε μεταγενέστερα στοιχεία. Προσθέτει επίσης ένα πρόγραμμα οδήγησης που χειρίζεται τη διαδικασία φόρτωσης του πυρήνα.
  3. Τροποποιήσεις πυρήνα:
    • Το bootkit τροποποιεί τις λειτουργίες του πυρήνα που έχουν φορτωθεί στη μνήμη, απενεργοποιώντας την επικύρωση ψηφιακής υπογραφής σε λειτουργικές μονάδες πυρήνα.
    • Μετά από αυτό, η γραμμή προετοιμασίας του πυρήνα αλλάζει, αντικαθιστώντας /init με μια κακόβουλη εντολή που χρησιμοποιεί LD_PRELOAD για να φορτώσετε την κακόβουλη βιβλιοθήκη injector.so.
  • Κακόβουλα στοιχεία:
    • Έγχυση.έτσι:
      Αυτή είναι μια βιβλιοθήκη που είναι υπεύθυνη για την παρακολούθηση κλήσεων συστήματος, όπως το SELinux και init_module, επιτρέποντας τη φόρτωση κακόβουλων λειτουργικών μονάδων πυρήνα.
    • Σταγονόμετρο.κο:
      Μια λειτουργική μονάδα πυρήνα που δημιουργεί και εκτελεί το δυαδικό αρχείο /opt/observer. Κρύβεται επίσης στη λίστα των μονάδων πυρήνα και χειρίζεται τις λειτουργίες του συστήματος για να αποτρέψει τον εντοπισμό της παρουσίας του ή ορισμένων αρχείων και κίνησης δικτύου.
    • Observer και Rootkit Loader:
      Το εκτελέσιμο /opt/observer φορτώνει μια άλλη κακόβουλη ενότητα (rootkit_loader.ko), το οποίο με τη σειρά του ενεργοποιεί ένα πλήρες rootkit στο παραβιασμένο σύστημα.

Ως εκ τούτου, το Bootkitty είναι ένα λειτουργικό bootkit του οποίου ο στόχος είναι:

» Αυξήστε την ευαισθητοποίηση της κοινότητας ασφάλειας σχετικά με πιθανούς κινδύνους και ενθαρρύνετε προληπτικά μέτρα για την πρόληψη παρόμοιων απειλών. "Δυστυχώς, λίγα δείγματα bootkit κυκλοφόρησαν πριν από την προγραμματισμένη παρουσίαση στο συνέδριο."

Μέθοδος επίθεσης

Η επίθεση εκτελείται από εισαγωγή μιας σχεδιασμένης εικόνας BMP συγκεκριμένα στο διαμέρισμα ESP (EFI System Partition). Αυτή η εικόνα παρουσιάζεται ως το λογότυπο του κατασκευαστή για το υλικολογισμικό UEFI. Λόγω τρωτών σημείων στις βιβλιοθήκες που χρησιμοποιούνται από το υλικολογισμικό για την επεξεργασία εικόνων, όπως υπερχειλίσεις buffer, η κακόβουλη εικόνα ενεργοποιεί την εκτέλεση κώδικα στο πλαίσιο του υλικολογισμικού UEFI. Αν και η ευπάθεια LogoFAIL ανακαλύφθηκε πριν από ένα χρόνο και έχει διορθωθεί με πρόσφατες ενημερώσεις υλικολογισμικού UEFI, πολλές συσκευές εξακολουθούν να λειτουργούν με ξεπερασμένες και ευάλωτες εκδόσεις, αφήνοντάς τις εκτεθειμένες σε αυτού του είδους την εκμετάλλευση.  bootkitty - τέχνη ASCII ενσωματωμένη στο bootkit

Bootkitty Έχει σημαντικούς περιορισμούς στην εφαρμογή του, αφού οι τροποποιήσεις που έγιναν στις λειτουργίες μνήμης του πυρήνα βασίστηκαν σε προεπιλεγμένες μετατοπίσεις, χωρίς να ελέγχεται η εγκυρότητά τους σε σχέση με τη συγκεκριμένη έκδοση του πυρήνα που έχει φορτωθεί.

La Η αποτελεσματικότητα του bootkit περιορίζεται μόνο στις εκδόσεις πυρήνα και GRUB που περιλαμβάνονται σε ορισμένες διανομές Ubuntu., προκαλώντας αστοχίες εκκίνησης σε άλλα συστήματα. Επιπλέον, το bootkit χρησιμοποίησε ένα αυτο-υπογεγραμμένο πιστοποιητικό για την επικύρωση του δημιουργημένου bootloader του (grubx64.efi), καθιστώντας το αναποτελεσματικό σε συστήματα με ενεργοποιημένη την Ασφαλή εκκίνηση του UEFI, εκτός εάν το πιστοποιητικό του εισβολέα περιλαμβανόταν μη αυτόματα στη λίστα αξιόπιστων πιστοποιητικών του εισβολέα.

Ερευνητές στο Binarly Research σημείωσαν ότι εικόνες BMP που συνδέονται με την ευπάθεια LogoFAIL, ένα κενό στο UEFI που επιτρέπει την αυθαίρετη εκτέλεση κώδικα σε επίπεδο υλικολογισμικού και παρακάμπτοντας τους περιορισμούς Ασφαλούς εκκίνησης UEFI, βρέθηκαν μεταξύ των στοιχείων Bootkitty. Σε αυτήν την περίπτωση, το LogoFAIL χρησιμοποιήθηκε για την αυτόματη εισαγωγή του αυτουπογεγραμμένου πιστοποιητικού του εισβολέα στη λίστα των αξιόπιστων πιστοποιητικών, επιτρέποντας στο bootkit να εκτελείται ακόμη και σε συστήματα με ενεργή Ασφαλή εκκίνηση.

τελικά αν είσαι ενδιαφέρεται να μάθει περισσότερα για αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες στο παρακάτω σύνδεσμο.