Cybersecurity-onderzoekers hebben licht geworpen op wat wordt beschreven als de eerste Unified Extensible Firmware Interface (UEFI)-bootkit ontworpen voor Linux-systemen.
Nagesynchroniseerd Bootkitty door de makers ervan, die de naam BlackCat dragen, wordt de bootkit beoordeeld als een proof-of-concept (PoC) en er is geen bewijs dat deze is gebruikt bij aanvallen in de echte wereld. Het wordt ook bijgehouden als IranuKit en werd op 5 november 2024 geüpload naar het VirusTotal-platform.
“Het belangrijkste doel van de bootkit is het uitschakelen van de handtekeningverificatiefunctie van de kernel en het vooraf laden van twee nog onbekende ELF-binaire bestanden via het Linux init-proces (het eerste proces dat door de Linux-kernel wordt uitgevoerd tijdens het opstarten van het systeem),” ESET-onderzoekers Martin Smolár en Peter zei Strýček.
De ontwikkeling is belangrijk omdat het een verschuiving in het cyberbedreigingslandschap aankondigt, waarbij UEFI-bootkits niet langer beperkt zijn tot alleen Windows-systemen.
Het is vermeldenswaard dat Bootkitty is ondertekend door een zelfondertekend certificaat en daarom niet kan worden uitgevoerd op systemen waarop UEFI Secure Boot is ingeschakeld, tenzij er al een door de aanvaller beheerd certificaat is geïnstalleerd.
Ongeacht de UEFI Secure Boot-status is de bootkit voornamelijk ontworpen om de Linux-kernel op te starten en de reactie van de functie voor integriteitsverificatie in het geheugen te patchen voordat GNU GRand Unified Bootloader (GRUB) wordt uitgevoerd.
Concreet gaat het verder met het koppelen van twee functies aan de UEFI-authenticatieprotocollen als Secure Boot op een zodanige manier is ingeschakeld dat UEFI-integriteitscontroles worden omzeild. Vervolgens repareert het ook drie verschillende functies in de legitieme GRUB-bootloader om andere integriteitsverificaties te omzeilen.
Het Slowaakse cyberbeveiligingsbedrijf zei dat zijn onderzoek naar de bootkit ook heeft geleid tot de ontdekking van een waarschijnlijk gerelateerde, niet-ondertekende kernelmodule die in staat is een ELF binair bestand genaamd BCdropper in te zetten die een andere, nog onbekende kernelmodule laadt na een systeemstart.
De kernelmodule, ook met BlackCat als de naam van de auteur, implementeert andere rootkit-gerelateerde functionaliteiten zoals het verbergen van bestanden, processen en het openen van poorten. Er zijn in dit stadium geen aanwijzingen voor een verband met de ALPHV/BlackCat-ransomwaregroep.
“Of het nu een proof of concept is of niet, Bootkitty markeert een interessante stap voorwaarts in het UEFI-bedreigingslandschap en doorbreekt de overtuiging dat moderne UEFI-bootkits exclusieve Windows-bedreigingen zijn”, aldus de onderzoekers. toekomstige bedreigingen.”