Bootkitty, sta arrivando il primo bootkit UEFI per Linux?

Bootkitty, sta arrivando il primo bootkit UEFI per Linux?

I ricercatori di ESET hanno scovato e analizzato Bootkitty, il primo bootkit UEFI per sistemi Linux. Al momento è un più che altro un Proof of Concept grezzo ed estremamente limitato, ma modulare e capace di colpire se perfezionato.

di pubblicata il , alle 07:21 nel canale Sicurezza
Linux
 

È stato scoperto il primo bootkit UEFI che prende di mira specificamente i sistemi Linux. Finora i bootkit, una forma avanzata di malware che infetta il settore di avvio (boot sector) o il Master Boot Record (MBR) di un computer, quindi l'ambiente prima del sistema operativo, si focalizzavano su Windows. Un bootkit conferisce controllo totale sul sistema, oltre a rendere il malware difficilmente rilevabile e di complessa rimozione.

La nuova minaccia, ribattezzata "Bootkitty", è attualmente un proof-of-concept (PoC) che funziona solo con alcune versioni di Ubuntu e determinate configurazioni; non rappresenta per ora una minaccia impiegata in attacchi reali.

Bootkitty è stato scoperto dai ricercatori di ESET analizzando un file sospetto (bootkit.efi) caricato su VirusTotal nel novembre 2024. Dopo l'analisi, ESET ha confermato che si tratta del primo caso di bootkit Linux UEFI in grado di aggirare la verifica della firma del kernel e di precaricare componenti dannosi durante la fase di avvio del sistema.

Bootkitty si basa su un certificato autofirmato, quindi non viene eseguito su sistemi con Secure Boot abilitato - a meno che i certificati degli aggressori non siano stati installati. Inoltre, gli offset codificati e la corrispondenza semplicistica dei byte-pattern lo rendono utilizzabile solo su versioni specifiche di GRUB e del kernel, quindi non è adatto a una distribuzione capillare.

ESET sostiene che il malware contiene molte funzioni inutilizzate e gestisce male la compatibilità con la versione del kernel, causando spesso crash di sistema. La natura buggata del malware, e il fatto che la telemetria di ESET non mostri alcun segno di Bootkitty sui sistemi in uso, portano a credere si tratti di un semplice PoC non rifinito.

Dall'analisi è emerso che durante l'avvio, Bootkitty aggancia i protocolli di autenticazione di sicurezza UEFI (EFI_SECURITY2_ARCH_PROTOCOL e EFI_SECURITY_ARCH_PROTOCOL) per bypassare i controlli di verifica dell'integrità di Secure Boot, garantendo il caricamento del bootkit indipendentemente dai criteri di sicurezza.

Poi, aggancia varie funzioni di GRUB come "start_image" e "grub_verifiers_open" per manipolare i controlli di integrità del bootloader per i binari, compreso il kernel Linux, disattivando la verifica della firma.

Bootkitty intercetta il processo di decompressione del kernel Linux e aggancia la funzione "module_sig_check". Questo permette di avere un esito positivo durante i controlli dei moduli del kernel, consentendo al malware di caricare moduli dannosi. Inoltre, sostituisce la prima variabile ambientale con "LD_PRELOAD=/opt/injector.so", in modo che la libreria dannosa venga iniettata nei processi all'avvio del sistema.

L'intero processo lascia dietro di sé diversi artefatti, alcuni voluti e altri no, spiega ESET, il che è un'altra indicazione della mancanza di raffinatezza del malware. In conclusione: Bootkitty esiste, ed è altamente modulare, il che fa pensare con il tempo arriveranno altre funzionalità, ma al momento non è una minaccia.

"Che si tratti o meno di una prova di fattibilità, Bootkitty segna un interessante passo avanti nel panorama delle minacce UEFI, sfatando la convinzione che i moderni bootkit UEFI siano minacce esclusive di Windows", hanno affermato i ricercatori. "Sebbene la versione attuale di VirusTotal non rappresenti, al momento, una minaccia reale per la maggior parte dei sistemi Linux, sottolinea la necessità di essere preparati per potenziali minacce future".

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Opteranium28 Novembre 2024, 10:31 #1
se solo coreboot diventasse uno standard condiviso..
destroyer8528 Novembre 2024, 11:58 #2
Ma hai letto la notizia (che comunque non riporta che l'utente deve dare il consenso all'installazione delle chiavi con cui è firmato bootkitty)?
È una non-vulnerabilità che sfrutta la funzionalità del bootloader di poter installare chiavi di firma digitale, UEFI non c'entra.
Io queste le considero non-vulnerabilità, devi avere un accesso così approfondito della macchina che di fatto sarebbe già compromessa anche senza
Link ad immagine (click per visualizzarla)
Sicuramente un malware, ma un malware che devi voler installare.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^