Výskumníci spoločnosti ESET objavili prvý UEFI bootkit určený pre systémy Linux, ktorý jeho tvorcovia pomenovali Bootkitty.
- V novembri 2024 bola do databázy VirusTotal nahraná predtým neznáma aplikácia s názvom bootkit.efi. Po bližšom skúmaní spoločnosť ESET zistila, že ide o aplikáciu UEFI.
- Ďalšia analýza potvrdila, že ide o UEFI bootkit, ktorý jeho tvorcovia pomenovali Bootkitty. Prekvapivo ide o prvý UEFI bootkit zameraný na Linux – konkrétne na niekoľko verzií Ubuntu. Bootkit obsahuje mnoho artefaktov, čo naznačuje, že ide skôr o potvrdenie konceptu než o prácu útočníkov.
- Výskumníci spoločnosti ESET objavili aj pravdepodobne príbuzný modul jadra, ktorý nazvali BCDropper, ktorý nasadzuje program ELF (Executable and Linking Format) pre Linux zodpovedný za načítanie ďalšieho modulu jadra.
ESET sa domnieva, že tento bootkit je pravdepodobne prvotným dôkazom konceptu a na základe telemetrie spoločnosti ESET nebol nasadený v reálnych podmienkach. Je to však prvý dôkaz, že UEFI bootkity už nie sú obmedzené len na systémy Windows. Hlavným cieľom bootkitu je vypnúť funkciu overovania podpisov jadra a predinštalovať dve zatiaľ neznáme ELF binárne súbory prostredníctvom linuxového „init“ procesu (čo je prvý proces, ktorý vykonáva linuxové jadro počas štartu systému).
Doteraz neznáma aplikácia UEFI s názvom „bootkit.efi“ bola nahraná do databázy VirusTotal. Bootkitty je podpísaný vlastným certifikátom, a preto nie je možné ho spustiť v systémoch so štandardne povoleným systémom UEFI Secure Boot. Bootkitty je však navrhnutý tak, aby bezproblémovo bootoval jadro Linuxu bez ohľadu na to, či je zapnuté zabezpečenie UEFI Secure Boot alebo nie, pretože v pamäti opravuje potrebné funkcie zodpovedné za overenie integrity.
Bootkit je pokročilý rootkit, schopný nahradiť boot loader a upraviť jadro ešte pred jeho spustením. Bootkitty umožňuje útočníkovi získať úplnú kontrolu nad zasiahnutým zariadením, pretože ovládne proces štartu systému a spustí škodlivý softvér ešte pred spustením operačného systému.
Počas analýzy ESET objavil pravdepodobne súvisiaci nepodpísaný modul jadra, ktorý nazval BCDropper, s indíciami, že by ho mohli vytvoriť rovnakí autori ako Bootkitty. Tento modul nasadzuje ELF binárny súbor zodpovedný za načítanie ďalšieho modulu jadra, ktorý bol v čase analýzy neznámy.
„Bootkitty obsahuje množstvo artefaktov, ktoré naznačujú, že ide skôr o potvrdenie konceptu než o prácu reálneho útočníka. Aj keď aktuálna verzia z VirusTotal momentálne nepredstavuje skutočnú hrozbu pre väčšinu Linuxových systémov, keďže môže ovplyvniť len niekoľko verzií Ubuntu, zdôrazňuje potrebu pripraviť sa na potenciálne budúce hrozby,“ hovorí výskumník spoločnosti ESET Martin Smolár, ktorý analyzoval Bootkitty. „Aby ste chránili svoje Linuxové systémy pred takýmito hrozbami, uistite sa, že máte povolený UEFI Secure Boot a váš systémový firmvér, bezpečnostný softvér a operačný systém sú aktualizované, rovnako ako váš „revocation“ zoznam UEFI,“ dodáva.
Po spustení systému s Bootkitty v testovacom prostredí spoločnosti ESET si výskumníci všimli, že jadro bolo označené ako poškodené (tento stav možno skontrolovať pomocou príkazu na zistenie hodnoty poškodenia), čo sa bez prítomnosti bootkitu nestalo. Ďalším spôsobom, ako zistiť prítomnosť bootkitu na systéme s povoleným UEFI Secure Boot, je pokus o načítanie nepodpísaného fiktívneho modulu jadra počas spusteného systému. Ak je bootkit prítomný, modul sa načíta, ak nie je, jadro jeho načítanie odmietne. Jednoduchý spôsob, ako sa zbaviť bootkitu, keď je nasadený ako „/EFI/ubuntu/grubx64.efi“, je presunúť legitímny súbor „/EFI/ubuntu/grubx64-real.efi“ späť na pôvodné miesto, teda „/EFI/ubuntu/grubx64.efi“.
V posledných rokoch sa hrozby spojené s UEFI, najmä UEFI bootkitmi, výrazne vyvinuli. Všetko sa začalo prvým potvrdením konceptu UEFI bootkitu, ktorý v roku 2012 opísal Andrea Allievi ako ukážku nasadenia bootkitov na moderných systémoch Windows založených na UEFI. Nasledovali ďalšie potvrdenia konceptu ako EfiGuard, Boot Backdoor či UEFI-bootkit. Trvalo niekoľko rokov, kým boli v reálnom prostredí objavené prvé dva UEFI bootkity (jeden z nich bol ESPecter objavený spoločnosťou ESET v roku 2021) a ďalšie dva roky, kým sa objavil neslávne známy BlackLotus – prvý UEFI bootkit schopný obísť UEFI Secure Boot na aktualizovaných systémoch (v roku 2023, objavený spoločnosťou ESET). Spoločným menovateľom týchto verejne známych bootkitov bolo ich výlučné zameranie na Windows systémy.
Viac technických informácií si môžete prečítať v anglickom jazyku v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET research.
