Bootkitty: первый в истории UEFI-буткит для Linux
NewsMakerПринципиально новый класса вредоносного ПО уже здесь.
Исследователи в области кибербезопасности сообщили о создании первого в своём роде UEFI - буткита для Linux -систем. Инструмент, получивший название Bootkitty, рассматривается как proof-of-concept ( PoC ) и, по данным специалистов, пока не применялся в реальных атаках. Буткит также известен как IranuKit и был впервые загружен на платформу VirusTotal 5 ноября 2024 года.
Главная задача Bootkitty — отключить функцию проверки подписей ядра Linux и предварительно загрузить два ELF-файла через процесс init, который запускается первым при старте системы. По словам экспертов компании ESET , функционал буткита представляет серьёзный вызов для кибербезопасности.
Этот буткит использует самоподписанный сертификат, что исключает его запуск на системах с включённой функцией Secure Boot , если только злоумышленники заранее не установили контролируемый сертификат. Однако даже в случае включенного Secure Boot — Bootkitty способен модифицировать функции проверки целостности ядра в памяти перед запуском загрузчика GRUB.
Так, если функция Secure Boot активирована, Bootkitty подключается к двум функциям протоколов аутентификации UEFI, обходя проверки целостности. Далее он изменяет три функции в загрузчике GRUB, что позволяет игнорировать дополнительные проверки безопасности. Это демонстрирует серьёзную уязвимость современных систем.
В ходе расследования ESET был обнаружен связанный неподписанный модуль ядра, который развёртывает ELF-бинарный файл BCDropper. Этот файл загружает другой неизвестный модуль ядра после запуска системы. Среди функций модуля — характерное для руткитов сокрытие файлов, процессов и открытие сетевых портов.
Эксперты подчёркивают, что Bootkitty разрушает стереотип о том, что UEFI-буткиты угрожают только Windows-системам, и указывает на необходимость подготовки к новым угрозам. Это открытие может стать отправной точкой для дальнейших разработок в сфере защиты Linux-платформ.
Исследователи в области кибербезопасности сообщили о создании первого в своём роде UEFI - буткита для Linux -систем. Инструмент, получивший название Bootkitty, рассматривается как proof-of-concept ( PoC ) и, по данным специалистов, пока не применялся в реальных атаках. Буткит также известен как IranuKit и был впервые загружен на платформу VirusTotal 5 ноября 2024 года.
Главная задача Bootkitty — отключить функцию проверки подписей ядра Linux и предварительно загрузить два ELF-файла через процесс init, который запускается первым при старте системы. По словам экспертов компании ESET , функционал буткита представляет серьёзный вызов для кибербезопасности.
Этот буткит использует самоподписанный сертификат, что исключает его запуск на системах с включённой функцией Secure Boot , если только злоумышленники заранее не установили контролируемый сертификат. Однако даже в случае включенного Secure Boot — Bootkitty способен модифицировать функции проверки целостности ядра в памяти перед запуском загрузчика GRUB.
Так, если функция Secure Boot активирована, Bootkitty подключается к двум функциям протоколов аутентификации UEFI, обходя проверки целостности. Далее он изменяет три функции в загрузчике GRUB, что позволяет игнорировать дополнительные проверки безопасности. Это демонстрирует серьёзную уязвимость современных систем.
В ходе расследования ESET был обнаружен связанный неподписанный модуль ядра, который развёртывает ELF-бинарный файл BCDropper. Этот файл загружает другой неизвестный модуль ядра после запуска системы. Среди функций модуля — характерное для руткитов сокрытие файлов, процессов и открытие сетевых портов.
Эксперты подчёркивают, что Bootkitty разрушает стереотип о том, что UEFI-буткиты угрожают только Windows-системам, и указывает на необходимость подготовки к новым угрозам. Это открытие может стать отправной точкой для дальнейших разработок в сфере защиты Linux-платформ.