Uç Nokta Güvenliği
Araştırmacı, Linux Hedefli Bootkitty’nin Tehditten Çok Kavram Kanıtı Gibi Göründüğünü Söyledi
Mathew J. Schwartz (euroinfosec) •
28 Kasım 2024
Siber güvenlik araştırmacıları, Linux sistemlerini hedef alan ve kötü amaçlı amaçlarla önyükleme süreçlerini alt üst eden ilk önyükleme kitini keşfetti.
Ayrıca bakınız: Active Directory Güvenliği Operasyonel Dayanıklılığı Nasıl Artırır?
Birleşik Genişletilebilir Ürün Yazılımı Arayüzü kötü amaçlı yazılımı, şu adla kullanıma hazır bir uygulama olarak mevcuttur: bootkit.efiyaratıcılarının “Bootkitty” adını verdiği .
Birisi 5 Kasım’da VirusTotal’a yükledikten sonra bu ayın başlarında UEFI önyükleme kitini ilk kez analiz eden siber güvenlik firması Eset’teki araştırmacılar böyle söyledi.
Eset araştırmacıları bir blog yazısında, “Önyükleme kiti, önyükleyiciyi değiştirebilen ve çalıştırılmadan önce çekirdeğe yama uygulayabilen gelişmiş bir kök kitidir” dedi. “Bootkitty, saldırganın etkilenen makine üzerinde tam kontrol sahibi olmasına olanak tanıyor, çünkü makinenin önyükleme sürecini kendisi seçiyor ve işletim sistemi başlamadan önce kötü amaçlı yazılım çalıştırıyor.”
Bootkitty’nin kendinden imzalı bir sertifika kullandığını ve yalnızca saldırganların sistemi zaten tehlikeye atması ve Güvenli Önyükleme korumalarını atlamak için kendi sertifikalarını yüklemesi durumunda çalışacağını söylediler.
Araştırmacılar ayrıca, aynı geliştirici tarafından tasarlanmış gibi görünen ve ek kötü amaçlı işlevler yürütmesi amaçlanabilen ayrı bir çekirdek modülünü yüklemek için oluşturulmuş olan BCDropper adlı “muhtemelen ilgili bir çekirdek modülünü” keşfettiler.
Bootkitty’nin keşfi kısmen dikkate değerdir çünkü hiçbir bootkit’in Linux’u hedef aldığı bilinmemektedir. Aksine, bilinen tüm önyükleme kitleri yalnızca Windows’u hedef almıştır (bkz: Phoenix Ürün Yazılımındaki Kritik UEFI Kusuru Büyük Bilgisayar Markalarını Etkiliyor).
Bu çabalardaki önemli kilometre taşları, araştırmacı Andrea Allievi’nin ilk kavram kanıtı Windows önyükleme kitini tanımladığı 2012 yılına dayanıyor. Yıllar süren ek araştırmalar ve 2021’deki ESPecter ve 2023’teki BlackLotus dahil olmak üzere, UEFI Güvenli Önyüklemeyi atlayabilen ilk kötü amaçlı önyükleme kitleri de bunu takip etti (bkz.: BlackLotus Kötü Amaçlı Yazılımı Windows Makinelerinde Güvenli Önyüklemeyi Atlıyor).
Araştırmacıların Linux önyükleme setlerini benzer bir duruma getirmeleri için yıllara ihtiyaç duyup duymayacağını zaman gösterecek.
Eset’ten güvenlik araştırmacısı Martin Smolár, olumlu yönde, “Bootkitty’de bunun bir tehdit aktörünün çalışmasından ziyade bir kavram kanıtına benzediğini düşündüren birçok eser var” dedi.
Araştırmacıların (ve şüphesiz saldırganların) konsepti daha da hassaslaştırmasını bekliyoruz. “VirusTotal’ın mevcut sürümü şu anda yalnızca birkaç Ubuntu sürümünü etkileyebileceğinden Linux sistemlerinin çoğunluğu için gerçek bir tehdit oluşturmasa da, gelecekteki potansiyel tehditlere karşı hazırlıklı olmanın gerekliliğini vurguluyor” dedi. .
Linux kullanıcıları kendilerini Linux’u hedef alan önyükleme kitlerinden korumak için ne yapabilirler? Smolár, “Linux sistemlerinizi bu tür tehditlere karşı güvende tutmak için UEFI Güvenli Önyüklemenin etkinleştirildiğinden, sistem donanım yazılımınızın, güvenlik yazılımınızın ve işletim sisteminizin güncel olduğundan ve UEFI iptal listenizin de güncel olduğundan emin olun” dedi.
İskoçya’daki Bilgi Güvenliği Medya Grubu’ndan Mathew Schwartz’ın raporuyla.