Araştırmacılar, Linux sistemlerinin önyükleme sürecine bulaşabilecek ilk kötü amaçlı yazılım olduğuna inandıkları şeyi tespit etti.
“Bootkitty”, Kore’deki öğrencilerin dahil oldukları bir siber güvenlik eğitim programı için geliştirdikleri kavram kanıtlayıcı koddur. Her ne kadar henüz tamamlanmamış olsa da, bootkit tamamen işlevseldir ve hatta birkaç sözde “Bootkitty”den biri için bir istismar içermektedir. LogoFAIL güvenlik açıkları Binarly Research’ün Kasım 2023’te ortaya çıkardığı Birleşik Genişletilebilir Ürün Yazılımı Arayüzü (UEFI) ekosisteminde.
Yeni Bir Kavram Kanıtı
Önyükleme kitleri donanım yazılımı düzeyinde çalışır ve işletim sistemi yüklenmeden önce yürütülür; böylece başlatma sırasında sistemleri kötü amaçlı yazılımlardan korumak için Güvenli Önyükleme işlemini atlamalarına olanak tanır. Bu tür kötü amaçlı yazılımlar, sistemin yeniden başlatılmasına, işletim sisteminin yeniden yüklenmesine ve hatta sabit sürücüler gibi belirli parçaların fiziksel olarak değiştirilmesine rağmen varlığını sürdürebilir.
ESET’teki araştırmacılar Bootkitty’yi analiz ettim Geçen ay VirusTotal’da bir örnek bulduktan sonra, bunun Linux için karşılaştıkları ilk UEFI önyükleme kiti olduğunu açıkladılar. Bu çok önemli, çünkü şu ana kadar en kötü şöhrete sahip olan bootkit’ler şunlardı: SiyahLotus Ve FinSpy — Windows’a özgüdür.
“[Bootkitty’s] ESET araştırmacıları Martin Smolar ve Peter Strycek, ana hedefin çekirdeğin imza doğrulama özelliğini devre dışı bırakmak ve henüz bilinmeyen iki ELF ikili dosyasını Linux başlatma işlemi (sistem başlatılırken Linux çekirdeği tarafından yürütülen ilk işlem) aracılığıyla önceden yüklemek olduğunu yazdı.
Bootkitty’yi de analiz eden Binarly, kötü amaçlı yazılımın, şirketin geçen yıl bildirdiği UEFI’deki LogoFAIL görüntü ayrıştırma güvenlik açıklarından biri olan CVE-2023-40238’e yönelik bir açıktan yararlandığını tespit etti. Binarly, Bootkitty istismarının, Güvenli Önyüklemeyi atlamak ve işletim sisteminin kötü amaçlı yazılıma güvenmesini sağlamak için bitmap görüntü (BMP) dosyalarına gömülü kabuk kodunu kullandığını söyledi. Satıcı, Lenovo, Fujitsu, HP ve Acer’ınkiler de dahil olmak üzere birden fazla satıcının Linux sistemlerini bu açıklardan yararlanmaya karşı savunmasız olarak tanımladı.
“Bu, aktif bir tehditten ziyade bir kavram kanıtı gibi görünse de, Bootkitty, saldırganların bootkit saldırılarını Windows ekosisteminin ötesine genişletmesiyle büyük bir değişimin sinyalini veriyor.” Binarly yazdı. “İşletim sistemi önyükleyicileri, savunucuların genellikle gözden kaçırdığı geniş bir saldırı yüzeyi sunuyor ve karmaşıklığın sürekli büyümesi, durumu daha da kötüleştiriyor.”
UEFI ve öncesinde de BIOS ekosistemi, bu düzeyde çalışan kötü amaçlı yazılımların güvenliği ihlal edilmiş sistemlerde neredeyse tespit edilememesi nedeniyle son yıllarda saldırganlar için popüler bir hedef haline geldi. Ancak UEFI güvenliğine ilişkin endişeler, BlackLotus’un keşfiyle gerçekten doruğa ulaştı. Güvenli Önyüklemeyi atlayan ilk kötü amaçlı yazılım Tamamen yamalı Windows sistemlerinde bile koruma sağlar.
Kötü amaçlı yazılım, UEFI Güvenli Önyükleme sürecindeki iki güvenlik açığından yararlandı: CVE-2022-2189, Baton Drop olarak da bilinir ve CVE-2023-24932kendisini neredeyse algılanamayacak ve kaldırılamaz bir şekilde kurmak için. Kötü amaçlı yazılımın nispeten kolay bulunabilirliği ve Microsoft’un bu sorunla mücadelede gösterdiği çaba, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) bir çağrı alınmasına yol açtı. geliştirilmiş UEFI korumaları için.
O dönemde CISA, “BlackLotus gibi UEFI kötü amaçlı yazılımlarına yönelik son olay yanıtlarına dayanarak, siber güvenlik topluluğu ve UEFI geliştiricileri hâlâ öğrenme modunda görünüyor” dedi. “Özellikle, UEFI güvenli önyükleme geliştiricilerinin tümü yama dağıtımını mümkün kılan ortak anahtar altyapısı (PKI) uygulamalarını uygulamadı.”
İşlevsel Önyükleme Seti
ESET, Bootkitty’nin, başlatma sırasında Linux çekirdeğini yüklemekten sorumlu olan GRand Birleşik Önyükleyicinin (GRUB) bütünlüğünü normalde doğrulayan işlevleri bellekte değiştirmeye yönelik yetenekler içerdiğini buldu. Bununla birlikte, Bootkitty’nin bellekte değiştirmeye çalıştığı belirli işlevler yalnızca nispeten az sayıda Linux cihazında destekleniyor; bu da kötü amaçlı yazılımın aktif bir tehditten çok kavramın kanıtı olduğunu gösteriyor. ESET, bu teoriyi destekleyen, yürütme sırasında ASCII resmini ve metni yazdırmak için iki işlev de dahil olmak üzere kodda kullanılmayan birçok yapının varlığının olduğunu söyledi.
Bootkit’i geliştiren Koreli öğrenciler, güvenlik sağlayıcısının analizini yayınlamasının ardından ESET’e bilgi verdi. ESET, öğrencilerin, kötü amaçlı yazılımı Linux sistemleri için kullanılabilir hale gelen bootkit potansiyeli hakkındaki farkındalığı yaymak amacıyla oluşturduklarını söylediklerini aktardı. Kötü amaçlı yazılımın ayrıntılarının yalnızca gelecekteki bir konferans sunumunun parçası olarak ortaya çıkması gerekiyordu. Ancak, önyükleme kitinin birkaç örneğinin VirusTotal’a yüklendiğini belirttiler.