Bootkitty: primer Bootkit UEFI para Linux
Investigadores de ciberseguridad han arrojado luz sobre lo que se ha descrito como el primer Bootkit de Interfaz de Firmware Extensible Unificada (UEFI) diseñado para sistemas Linux.
Bautizado Bootkitty por sus creadores, que se hacen llamar BlackCat, el Bootkit se considera una prueba de concepto (PoC) y no hay evidencia de que se haya utilizado en ataques del mundo real. También conocido como IranuKit, se subió a la plataforma VirusTotal el 5 de noviembre de 2024.
"El objetivo principal del bootkit es deshabilitar la función de verificación de firma del kernel y precargar dos binarios ELF aún desconocidos a través del proceso de inicio de Linux (que es el primer proceso que ejecuta el kernel de Linux durante el inicio del sistema)", dijeron los investigadores de ESET Martin Smolár y Peter Strýček.
El desarrollo es significativo ya que anuncia un cambio en el panorama de las amenazas cibernéticas en el que los Bootkits UEFI ya no se limitan solo a los sistemas Windows.
Vale la pena señalar que Bootkitty está firmado por un certificado autofirmado y, por lo tanto, no se puede ejecutar en sistemas con Arranque seguro UEFI habilitado a menos que ya se haya instalado un certificado controlado por un atacante.
Independientemente del estado de arranque seguro UEFI, el Bootkit está diseñado principalmente para arrancar el núcleo Linux y aplicar un parche, en memoria, a la respuesta de la función para la verificación de integridad antes de que se ejecute GNU GRand Unified Bootloader (GRUB).
En concreto, procede a enganchar dos funciones de los protocolos de autenticación UEFI si el arranque seguro está habilitado de forma que se eviten las comprobaciones de integridad UEFI. Posteriormente, también aplica un parche a tres funciones diferentes en el cargador de arranque GRUB legítimo para eludir otras verificaciones de integridad.
La empresa de ciberseguridad eslovaca dijo que su investigación sobre el Bootkit también condujo al descubrimiento de un módulo de núcleo no firmado probablemente relacionado que es capaz de implementar un binario ELF denominado BCDropper que carga otro módulo de núcleo aún desconocido después de iniciar el sistema.
El módulo de núcleo, que también tiene como nombre de autor a BlackCat, implementa otras funcionalidades relacionadas con el rootkit, como ocultar archivos, procesos y abrir puertos. No hay evidencia que sugiera una conexión con el grupo de ransomware ALPHV/BlackCat en esta etapa.
"Independientemente de que se trate de una prueba de concepto o no, Bootkitty marca un interesante avance en el panorama de amenazas de UEFI, rompiendo la creencia de que los bootkits UEFI modernos son amenazas exclusivas de Windows", dijeron los investigadores, y agregaron que "enfatiza la necesidad de estar preparados para posibles amenazas futuras".
Fuente: BC
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!