ESET Research, yaratıcıları tarafından Bootkitty adı verilen, Linux sistemleri için tasarlanan ilk UEFI önyükleme kitini keşfetti. Araştırmacılar bu önyükleme kitinin büyük olasılıkla konseptin ilk kanıtı olduğuna ve ESET telemetrisine dayanarak vahşi ortamda kullanılmadığına inanıyor.
Bootkitty yürütmesine genel bakış (Kaynak: ESET)
Ancak bu, UEFI önyükleme kitlerinin artık yalnızca Windows sistemleriyle sınırlı olmadığının ilk kanıtıdır. Bootkit’in ana hedefi, çekirdeğin imza doğrulama özelliğini devre dışı bırakmak ve henüz bilinmeyen iki ELF ikili dosyasını Linux “init” işlemi (sistem başlatılırken Linux çekirdeği tarafından yürütülen ilk işlem) aracılığıyla önceden yüklemektir.
Daha önce bilinmeyen “bootkit.efi” adlı UEFI uygulaması VirusTotal’a yüklendi. Bootkitty, kendinden imzalı bir sertifikayla imzalanmıştır ve bu nedenle, varsayılan olarak UEFI Güvenli Önyüklemenin etkin olduğu sistemlerde çalışamaz. Ancak Bootkitty, UEFI Güvenli Önyükleme etkin olsun ya da olmasın, bütünlük doğrulamasından sorumlu gerekli işlevleri bellekte yamaladığı için Linux çekirdeğini sorunsuz bir şekilde önyüklemek üzere tasarlanmıştır.
Önyükleme kiti, önyükleyiciyi değiştirebilen ve yürütülmeden önce çekirdeğe yama uygulayabilen gelişmiş bir kök kitidir. Bootkitty, saldırganın etkilenen makine üzerinde tam kontrol sahibi olmasına olanak tanıyor, çünkü makinenin önyükleme sürecini kendisi seçiyor ve işletim sistemi başlamadan önce kötü amaçlı yazılım çalıştırıyor.
Analiz sırasında ESET, muhtemelen ESET’in BCDropper adını verdiği imzasız bir çekirdek modülü keşfetti; bunun Bootkitty ile aynı yazar(lar) tarafından geliştirilmiş olabileceğini gösteren işaretler var. Analiz sırasında bilinmeyen başka bir çekirdek modülünün yüklenmesinden sorumlu bir ELF ikili dosyasını dağıtır.
“Bootkitty’de pek çok eser bulunuyor ve bu da bunun bir tehdit aktörünün çalışmasından ziyade konseptin kanıtı olduğunu gösteriyor. VirusTotal’ın mevcut sürümü şu anda yalnızca birkaç Ubuntu sürümünü etkileyebileceğinden Linux sistemlerinin çoğunluğu için gerçek bir tehdit oluşturmasa da, gelecekteki olası tehditlere karşı hazırlıklı olmanın gerekliliğini vurguluyor” diyor ESET araştırmacısı Bootkitty’yi analiz eden Martin Smolár. “Linux sistemlerinizi bu tür tehditlere karşı korumak için UEFI Güvenli Önyüklemenin etkinleştirildiğinden, sistem donanım yazılımınızın, güvenlik yazılımınızın ve işletim sisteminizin güncel olduğundan ve UEFI iptal listenizin de güncel olduğundan emin olun” diye ekliyor.
ESET test ortamında Bootkitty ile bir sistemi başlattıktan sonra araştırmacılar, çekirdeğin bozuk olarak işaretlendiğini fark ettiler (kusurlu değeri kontrol etmek için bir komut kullanılabilir), ancak önyükleme kitinin olmadığı durumlarda durum böyle değildi. UEFI Güvenli Önyükleme etkinken sistemde önyükleme kitinin mevcut olup olmadığını anlamanın başka bir yolu, çalışma zamanı sırasında imzasız bir sahte çekirdek modülü yüklemeye çalışmaktır. Varsa modül yüklenecektir; değilse – çekirdek onu yüklemeyi reddeder. Bootkit “/EFI/ubuntu/grubx64.efi” olarak konuşlandırıldığında bootkit’ten kurtulmanın basit bir yolu meşru “/EFI/ubuntu/grubx64-real.efi” dosyasını orijinal konumuna geri taşımaktır. , yani “/EFI/ubuntu/grubx64.efi”.
Son birkaç yılda, UEFI tehdit ortamı, özellikle de UEFI önyükleme kitleri önemli ölçüde gelişti. Her şey, 2012 yılında Andrea Allievi tarafından açıklanan, modern UEFI tabanlı Windows sistemlerine önyükleme kitlerinin dağıtımının bir gösterimi olarak hizmet eden ilk UEFI önyükleme kiti kavram kanıtı (PoC) ile başladı ve bunu diğer birçok PoC (EfiGuard, Boot Backdoor) takip etti. , UEFI önyükleme seti).
İlk iki gerçek UEFI önyükleme kitinin doğada keşfedilmesi birkaç yıl aldı (bunlardan biri, 2021’de ESET tarafından yapılan ESPecter’dı) ve UEFI Güvenli Önyüklemeyi atlayabilen ilk UEFI önyükleme kiti olan kötü şöhretli BlackLotus’un ortaya çıkması da iki yıl daha sürdü. güncel sistemler – ortaya çıktı (2023’te ESET tarafından keşfedildi). Kamuoyunca bilinen bu önyükleme kitleri arasındaki ortak nokta, Windows sistemlerini özel olarak hedeflemeleriydi.