Özellikle Linux sistemlerini hedefleyen ilk UEFI bootkit keşfedildi ve daha önce pencerelere odaklanan gizli ve çıkarılması zor bootkit tehditlerinde bir kaymayı işaret etti.
'Bootkitty' olarak adlandırılan Linux kötü amaçlı yazılım, gerçek saldırılarda tam teşekküllü bir tehdit yerine sadece bazı Ubuntu sürümlerinde ve konfigürasyonlarında çalışan bir kavram kanıtıdır.
BootKits, bir bilgisayarın önyükleme işlemini enfekte etmek, işletim sisteminden önce yüklemek ve bir sistem üzerinde çok düşük bir seviyede kontrol kazanmasına izin vermek için tasarlanmış kötü amaçlı yazılımdır.
Bu uygulamanın avantajı, BootKits'in işletim sistemi düzeyinde çalışan güvenlik araçlarından kaçınması ve sistem bileşenlerini değiştirebilmesi veya algılama riskini almadan kötü amaçlı kod enjekte edebilmesidir.
Bootkitty'yi keşfeden ESET araştırmacıları, mevcut gerçek dünya sonuçlarına rağmen UEFI Bootkit tehdidi alanında varlığının önemli bir evrim olduğu konusunda uyarıyor.
ESET, Kasım 2024'te Virustotal'a yüklenen şüpheli bir dosyayı (bootkit.efi) inceledikten sonra Bootkitty'yi keşfetti.
Analiz üzerine ESET, bunun Sistem önyükleme işlemi sırasında çekirdek imzası doğrulamasını atlamak ve kötü niyetli bileşenleri önceden yüklemek için bir Linux UEFI bootkitinin ilk örneği olduğunu doğruladı.
BootKitty kendi kendine imzalanmış bir sertifikaya dayanır, bu nedenle güvenli önyükleme etkin olan sistemlerde yürütülmez ve yalnızca belirli Ubuntu dağıtımlarını hedefler.
Ek olarak, sert kodlanmış ofsetler ve basit bayt-desen eşleşmesi, onu yalnızca belirli grub ve çekirdek sürümlerinde kullanılabilir hale getirir, bu nedenle yaygın dağıtım için uygun değildir.
ESET ayrıca kötü amaçlı yazılımın kullanılmayan birçok işlev içerdiğini ve çekirdek sürümü uyumluluğunu kötü bir şekilde ele aldığını ve genellikle sistem çökmelerine yol açtığını belirtiyor.
Kötü amaçlı yazılımların buggy doğası ve ESET'in telemetrisinin canlı sistemlerde hiçbir bootkitty belirtisi göstermemesi, araştırmacıların erken aşama gelişmede olduğu sonucuna varmasına neden oldu.
Önyükleme sırasında, BootKitty, Güvenlik Politikalarına bakılmaksızın Bootkit yüklerini sağlayarak Boot Boot'un bütünlük doğrulama kontrollerini atlamak için UEFI Güvenlik Kimlik Doğrulama Protokolleri (EFI_SECURITY2_ARCH_PROTOCOL ve EFI_Security_arch_Protocol).
Ardından, Linux çekirdeği de dahil olmak üzere, İmza Doğrulamasını kapatan ikili dosyalar için önyükleyicinin bütünlük kontrollerini manipüle etmek için 'Start_image' ve 'Grub_Veriifiers_Open' gibi çeşitli Grub işlevlerini bağlar.
Bootkitty daha sonra Linux çekirdeğinin dekompresyon sürecini keser ve 'Module_sig_Check' işlevini kanca yapar. Bu, çekirdek modülü kontrolleri sırasında her zaman başarıya dönmeye zorlar ve kötü amaçlı yazılımların kötü amaçlı modüller yüklemesine izin verir.
Ayrıca, ilk ortam değişkenini 'LD_PRELOAD =/opt/enjector.so' ile değiştirir, böylece kötü amaçlı kitaplık sistem lansmanı üzerine işlemlere enjekte edilir.
Bütün bu süreç, bazıları amaçlanan ve bazıları olmayan birkaç eserin arkasında bırakıyor, bu da Bootkitty'nin iyileştirme eksikliğinin başka bir göstergesi olan ESET'i açıklıyor.
Araştırmacılar ayrıca, BootKitty'yi VT'ye yükleyen aynı kullanıcının 'BCDropper' adlı imzasız bir çekirdek modülü yüklediğini, ancak mevcut kanıtların ikisini zayıf bir şekilde bağladığını belirtti.
BCDropper, enfekte olmuş sistemde dosyaları gizleyen, işleme ve açan rootkit işlevselliğine sahip bir çekirdek modülü olan 'BCOBServer' adlı bir ELF dosyasını düşürür.
Bu tür kötü amaçlı yazılımların keşfi, saldırganların Linux'u giderek daha fazla benimsediği için Windows'a daha önce Windows'a izole edilen Linux kötü amaçlı yazılımları nasıl geliştirdiğini göstermektedir.
Bootkitty ile ilişkili uzlaşma göstergeleri (IOC'ler) bu GitHub deposunda paylaşılmıştır.
Ubuntu Linux, kök veren on yıllık 'Needrestart' kusurundan etkilendi
Çinli bilgisayar korsanları Linux'u yeni Wolfsbane kötü amaçlı yazılımla hedef
Linux kötü amaçlı yazılım “perfctl” yıllarca süren kriptominasyon kampanyasının arkasında
Govt Network'teki Sophos Güvenlik Duvarı Hackinde Kullanılan Özel "Cugmy Keçi" Kötü Yazılım
Yeni kimlik avı saldırılarında backdoed Linux VM'lerle enfekte olan pencereler
Kaynak: Bleeping Computer