Araştırmacılar, Bootkitty adlı, Linux sistemleri için özel olarak tasarlanmış ilk UEFI önyükleme kitini ortaya çıkardı.
Bu keşif, geleneksel olarak yalnızca Windows sistemlerini hedef alan UEFI tehditlerinin gelişiminde çok önemli bir anı işaret ediyor.
UEFI tehdit ortamı son on yılda önemli ilerleme kaydetti.
Andrea Allievi’nin 2012’deki kavram kanıtıyla başlayan alan, 2021’de ESPecter ve FinSpy gibi gerçek dünya tehditlerine doğru ilerledi ve 2023’te kötü şöhretli BlackLotus önyükleme kitiyle doruğa ulaştı.
Ancak Bootkitty, özellikle Linux sistemlerini hedef alarak yeni bir sınırı temsil ediyor.
Bunun yanı sıra ESET’teki siber güvenlik analistleri, Bootkitty’nin aktif olarak konuşlandırılan bir tehditten ziyade kavramın kanıtı gibi göründüğünü gözlemledi.
Başlıca hedefleri şunlardır: –
- Çekirdeğin imza doğrulama özelliğini devre dışı bırakma
- İki bilinmeyen ELF ikili dosyasını Linux başlatma işlemi aracılığıyla önceden yükleme
Önyükleme kiti, ASCII sanatını görüntüleyen kullanılmayan işlevler ve potansiyel yazarların bir listesi de dahil olmak üzere, deneysel doğasını düşündüren çeşitli eserler içerir.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Teknik Analiz
Bootkitty’nin yürütülmesi üç ana aşamaya ayrılabilir:
- Başlatma ve GRUB Kancalama: Önyükleme kiti, UEFI Güvenli Önyüklemeyi kontrol eder, kimlik doğrulama protokollerini bağlar ve meşru GRUB önyükleyicisini yamalar.
- Linux Çekirdek Görüntüsü Sıkıştırma Kancası: Bu aşama, çekirdek sürümünün ve Linux banner dizelerinin değiştirilmesi de dahil olmak üzere sıkıştırılmış Linux çekirdek görüntüsünün yamasını içerir.
- Çekirdek ve Başlangıç Süreci Manipülasyonu: Bootkitty yamaları
module_sig_checkmodül imza doğrulamasını atlayan bir işlev görür ve potansiyel olarak kötü amaçlı paylaşılan nesneleri önceden yüklemek için başlatma işlemini değiştirir.
Bootkitty’nin mevcut sürümü çoğu Linux sistemi için acil bir tehdit oluşturmasa da, varlığı gelişmiş güvenlik önlemlerine olan ihtiyacın altını çiziyor.
.webp)
Bootkitty’nin varlığına ilişkin bazı göstergeler şunları içerir: –
- Değiştirilmiş çekirdek sürümü dizesi (üzerinden görülebilir)
uname -v) - Linux banner’ı değiştirildi
dmesgçıktı - Varlığı
LD_PRELOADortam değişkeni/proc/1/environ - Çekirdek kusurlu olarak işaretlendi
- İmzasız çekirdek modüllerini UEFI Güvenli Önyükleme etkinleştirilmiş sistemlere yükleme yeteneği
Araştırmacılar ayrıca, başka bir bilinmeyen çekirdek modülünün yüklenmesinden sorumlu bir ELF ikili dosyasını (BCObserver) dağıtan, BCDropper adında potansiyel olarak ilişkili imzasız bir çekirdek modülünü de keşfettiler.
Bootkitty’ye bağlantı doğrulanmasa da bu bileşenler benzer özellikleri ve adlandırma kurallarını paylaşıyor.
Bootkitty’nin ortaya çıkışı, UEFI tehditlerinin Windows sistemlerinin ötesinde genişleyen kapsamının altını çiziyor. Gelişiminin erken bir aşamasında gibi görünse de varlığı siber güvenlik topluluğu için bir uyandırma çağrısı görevi görüyor. Bu tür tehditlere karşı korunmak için aşağıdakiler çok önemlidir: –
- UEFI Güvenli Önyüklemeyi Etkinleştir
- Sistem donanım yazılımını ve işletim sistemini güncel tutun
- Güncellenmiş bir UEFI iptal listesi bulundurun
Güvenlik analistleri, aktif dikkatli olunması çağrısında bulundu ve bununla birlikte proaktif güvenlik önlemleri, Linux sistemlerini karmaşık UEFI tabanlı saldırılara karşı korumak için gerekli olacaktır.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın