Siber güvenlik araştırmacıları, Linux sistemlerini hedeflemek için tasarlanan ilk UEFI önyükleme kitini ortaya çıkardı.
‘Bootkitty’ adı verilen bu keşif, şimdiye kadar ağırlıklı olarak Windows sistemlerini hedef alan UEFI tehditlerinde yeni bir sayfaya işaret ediyor.
UEFI (Birleşik Genişletilebilir Ürün Yazılımı Arayüzü) tehdit ortamı, son on yılda önemli bir gelişme gösterdi.
UEFI Tehditlerinin Gelişimi
Başlangıçta, 2012 yılında, ilk kavram kanıtlı UEFI önyükleme kiti Andrea Allievi tarafından sunuldu. O zamandan bu yana EfiGuard, Boot Backdoor ve UEFI-bootkit gibi çeşitli kavram kanıtlamalı önyükleme kitleri ortaya çıktı.
Ancak ilk gerçek dünya UEFI önyükleme kitleri ESPecter ve FinSpy 2021 yılına kadar keşfedilmedi. 2023 yılında BlackLotus önyükleme kiti, güncel sistemlerde UEFI Güvenli Önyüklemeyi atlayarak çıtayı daha da yükseltti.
Bootkitty, Ubuntu’nun belirli sürümlerinden başlayarak, özellikle Linux sistemlerini hedef alarak yeni bir UEFI tehditleri sınıfını temsil ediyor.
Bootkitty, yalnızca Windows’u hedef alan öncüllerinin aksine, Linux çekirdeğinin imza doğrulama özelliğini devre dışı bırakıyor.
Önyükleme kiti, kendinden imzalı bir sertifika kullandığından, saldırgan sertifikaları yüklenmediği sürece UEFI Güvenli Önyüklemenin etkin olduğu sistemlerde çalışamaz.
Teknik Bilgiler
Bootkitty’nin birincil hedefi, GRUB önyükleyici çalıştırılmadan önce bütünlük doğrulamalarını atlatarak Linux çekirdeğini bellekte yamalamak.
Bu yöntem, yamalama için sabit kodlanmış bayt desenlerinin kullanılması nedeniyle işlevselliğini belirli yapılandırmalarla sınırlar.
ESET Ayrıntılı analizi, Bootkitty’nin ELF ikili dosyalarını Linux başlatma işlemi yoluyla önceden yüklemeye çalıştığını ortaya koyuyor.
Ek olarak, muhtemelen ilgili imzasız bir çekirdek modülü olan BCDropper da keşfedildi.
Bu modülün aynı yazarlar tarafından geliştirildiğinden şüpheleniliyor ve başka bir bilinmeyen çekirdek modülünün yüklenmesinden sorumlu.
Bootkitty şu anda tamamen işlevsel bir tehditten ziyade bir kavram kanıtı gibi görünse de, varlığı UEFI önyükleme kitlerinin Linux sistemlerine yayılma potansiyelinin altını çiziyor.
Bootkitty, çekirdek sürümünü ve Linux başlık dizelerini değiştirir; bunlar, kullanılarak algılanabilir. uname -v Ve dmesg komutlar.
Sistem yöneticilerinin UEFI Güvenli Önyüklemenin etkinleştirildiğinden ve sistem donanım yazılımı ile işletim sistemlerinin güncel olduğundan emin olmaları önerilir.
Basit bir düzeltme eylemi, Bootkitty’nin etkilerini azaltmak için meşru GRUB önyükleyici dosyasını orijinal konumuna geri yüklemeyi içerir.
Bootkitty’nin ortaya çıkışı, UEFI önyükleme kiti tehditlerinde önemli bir değişime işaret ederek, Linux sistemlerinin gelecekteki potansiyel tehditlere karşı güvenliğinin sağlanmasında dikkatli olunması gerektiğinin altını çiziyor.
Bu gelişme, siber güvenlik tehditlerinin gelişen doğasının ve sağlam güvenlik önlemlerinin öneminin kritik bir hatırlatıcısı olarak hizmet ediyor.
IoC’ler
Tehlike göstergelerinin (IoC’ler) ve örneklerin kapsamlı bir listesi GitHub depomuzda bulunabilir.
Dosyalar
| SHA-1 | Dosya adı | Algılama | Tanım |
| 35ADF3AED60440DA7B80F3C452047079E54364C1 | bootkit.efi | EFI/Ajan.A | Bootkitty UEFI önyükleme kiti. |
| BDDF2A7B3152942D3A829E63C03C7427F038B86D | dropper.ko | Linux/Rootkit.Agent.FM | BCDropper. |
| E8AF4ED17F293665136E17612D856FA62F96702D | gözlemci | Linux/Rootkit.Agent.FM | BCObserver. |