“Bootkitty”: Linux Sistemlerini Hedefleyen İlk UEFI Bootkit

Çevrimdışı

gezgin

Moderatör
Yetki Sahibi
Kayıtlı
7 Aralık 2024
19
1
16
5
SET araştırmacıları, Linux sistemlerini hedeflemek üzere tasarlanmış ilk UEFI önyükleme seti olan Bootkitty'yi ortaya çıkardı. Bu kötü amaçlı yazılım, daha önce Windows odaklı önyükleme setlerinin hakim olduğu UEFI tehdit manzarasında önemli bir evrimi işaret ediyor. Bootkitty bir kavram kanıtı gibi görünse de ve henüz etkin saldırılarda gözlemlenmemiş olsa da, varlığı Linux tabanlı platformlar için endişe verici bir değişime işaret ediyor.

Bootkitty keşfi ve analizi​

ESET araştırmacıları Martin Smolár ve Peter Strýček, bootkit.efi adlı bir örnek Kasım 2024'te VirusTotal'a yüklendikten sonra Bootkitty'yi analiz etti . Bu UEFI önyükleme seti, özellikle birkaç Ubuntu Linux sürümüne göre uyarlanmış ve kendinden imzalı bir sertifika ile imzalanmıştı; bu da saldırganlar daha önce sertifikalarını yüklememişlerse, işlevselliğini UEFI Güvenli Önyükleme etkinleştirilmiş sistemlerde sınırlıyordu.

Bootkitty'nin başlıca hedefleri şunlardır:

  1. Yetkisiz modüllere izin vermek için çekirdek imza doğrulamasını devre dışı bırakıyorum.
  2. Sistemin başlatma aşamasında bilinmeyen ELF ikili dosyalarının önceden yüklenmesi.
  3. Bütünlük kontrollerini atlatmak için bellekteki GRUB ve çekirdek işlevlerine yama uygulanması.
ESET ayrıca, önyükleme kitinin işlevselliğine bağlı, potansiyel olarak ilişkili bir çekirdek modülü olan BCDropper'ı ve ikincil bir ikili dosya olan BCObserver'ı tespit etti.

Teknik genel bakış​

Bootkitty, işletim sistemi başlatılmadan önce önyükleyiciyi ve çekirdeği manipüle etmek için UEFI ortamından yararlanarak çalışır. Bootkit'in birincil işlevleri şunlardır:

  1. Linux çekirdeğini başlatmaktan sorumlu GRUB fonksiyonlarını kancalar, doğrulama süreçlerini değiştirerek imza kontrollerini atlatır.
  2. Linux çekirdek görüntüsündeki sabit kodlanmış ofsetleri değiştirerek modül imza kontrollerini devre dışı bırakır ve kötü amaçlı kod enjekte etmek için yaygın bir taktik olan LD_PRELOAD ortam değişkeni aracılığıyla ikili dosyaları önceden yükler.
Ancak, Bootkitty'nin sabit kodlu desenler ve ofsetler kullanması onu yalnızca dar bir yapılandırma aralığında işlevsel hale getirir. Kullanılmayan işlevler ve yapıtların varlığıyla birleşen bu sınırlama, Bootkitty'nin olgun bir kötü amaçlı yazılım aracı olmaktan çok deneysel veya erken aşamada bir proje olduğunu düşündürmektedir.

BCDropper ve BCObserver'a Bağlantılar​

ESET, Bootkitty'yi VirusTotal'a da yüklenen BCDropper adlı bir çekirdek modülüne bağladı. Bu modül, sistem başlangıcını izleyen ve finit_module aracılığıyla başka bir çekirdek modülü yükleyen bir ELF ikili dosyasını (BCObserver) /opt/observer'a bırakır. Bağlantılara rağmen, ESET Bootkitty ve BCDropper için aynı yazarlığı kesin olarak doğrulayamaz.

BCDropper ayrıca süreçleri, dosyaları ve portları gizleme ve çekirdek modül listesinden girişini kaldırarak kendini gizleme yeteneği gibi rootkit yetenekleri de sergiler.

Daha geniş kapsamlı etkiler​

Bu keşif, UEFI önyükleme kitlerinin yalnızca Windows tehditleri olduğuna dair inancı bozuyor. Kurumsal sunucularda ve bulut ortamlarında yaygın olarak kullanılan Linux sistemleri, önyükleme öncesi aşamada saldırganlar tarafından büyük ölçüde göz ardı edilmiştir. Bootkitty, saldırganların cephaneliklerini, mevcut durumunda sınırlı erişime sahip olsa bile, bu sistemleri hedef alacak şekilde nasıl genişletebileceklerini göstermektedir.

ESET araştırmacıları, Bootkitty'nin çekirdek imza doğrulaması gibi önemli güvenlik özelliklerini devre dışı bırakma yeteneğinin, onu daha karmaşık saldırıların habercisi haline getirdiğini vurguluyor.

ESET, Bootkitty gibi UEFI bootkit tehditlerini azaltmak için aşağıdakileri öneriyor:

  • Tüm önyükleme bileşenlerinin güvenilir sertifikalarla imzalandığından emin olmak için UEFI Güvenli Önyüklemeyi etkinleştirin.
  • Önyükleme kitleri tarafından istismar edilebilecek güvenlik açıklarını azaltmak için aygıt yazılımını ve işletim sistemlerini düzenli olarak güncelleyin.
  • Çekirdek bütünlüğündeki değişiklikler, beklenmeyen modüller veya değiştirilmiş dosyalar gibi anormallikleri izleyin.
  • Kurcalama tespit edilirse GRUB yükleyicileri gibi meşru dosyaları orijinal konumlarına geri yükleyin.
Bootkitty, kavram kanıtı statüsü nedeniyle şu anda asgari düzeyde risk oluştursa da, ortaya çıkışı Linux ortamlarında proaktif savunma önlemlerine olan ihtiyacı vurgulamaktadır.