{"id":1459968,"date":"2024-11-27T14:51:37","date_gmt":"2024-11-27T14:51:37","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-descubren-botita-primer-kit-de-arranque-uefi-dirigido-a-kernels-de-linux\/"},"modified":"2024-11-27T14:51:41","modified_gmt":"2024-11-27T14:51:41","slug":"los-investigadores-descubren-botita-primer-kit-de-arranque-uefi-dirigido-a-kernels-de-linux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-descubren-botita-primer-kit-de-arranque-uefi-dirigido-a-kernels-de-linux\/","title":{"rendered":"Los investigadores descubren "botita" \u2013 Primer kit de arranque UEFI dirigido a kernels de Linux"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>27 de noviembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Linux\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han arrojado luz sobre lo que se ha descrito como el primer kit de arranque de interfaz de firmware extensible unificada (UEFI) dise\u00f1ado para sistemas Linux.<\/p>\n

Apodado botita <\/b>por sus creadores que se llaman BlackCat, el kit de arranque<\/a> se considera una prueba de concepto (PoC) y no hay evidencia de que se haya utilizado en ataques del mundo real. Tambi\u00e9n rastreado como IranuKit<\/a>fue subido<\/a> a la plataforma VirusTotal el 5 de noviembre de 2024.<\/p>\n

“El objetivo principal del kit de arranque es desactivar la funci\u00f3n de verificaci\u00f3n de firma del kernel y precargar dos binarios ELF a\u00fan desconocidos a trav\u00e9s del proceso de inicio de Linux (que es el primer proceso ejecutado por el kernel de Linux durante el inicio del sistema)”, los investigadores de ESET Martin Smol\u00e1r y Peter Str\u00fd\u010dek dicho<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El desarrollo es significativo ya que presagia un cambio en el panorama de las amenazas cibern\u00e9ticas donde los bootkits UEFI ya no se limitan a Sistemas Windows solos<\/a>.<\/p>\n

Vale la pena se\u00f1alar que Bootkitty est\u00e1 firmado mediante un certificado autofirmado y, por lo tanto, no se puede ejecutar en sistemas con UEFI Secure Boot habilitado a menos que ya se haya instalado un certificado controlado por el atacante.<\/p>\n

\"Kit<\/a><\/div>\n

Independientemente del estado de arranque seguro UEFI, el kit de arranque est\u00e1 dise\u00f1ado principalmente para arrancar el kernel de Linux y parchear, en la memoria, la respuesta de la funci\u00f3n para la verificaci\u00f3n de integridad antes de GNU GR y Unified Bootloader (COMIDA<\/a>) se ejecuta.<\/p>\n

En concreto, procede a enganchar dos funciones de los protocolos de autenticaci\u00f3n UEFI si el Arranque seguro est\u00e1 habilitado de tal forma que se omitan las comprobaciones de integridad UEFI. Posteriormente, tambi\u00e9n parchea tres funciones diferentes en el cargador de arranque GRUB leg\u00edtimo para eludir otras verificaciones de integridad.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La compa\u00f1\u00eda eslovaca de ciberseguridad dijo que su investigaci\u00f3n sobre el kit de arranque tambi\u00e9n condujo al descubrimiento de un m\u00f3dulo de kernel sin firmar probablemente relacionado que es capaz de implementar un binario ELF denominado BCDropper que carga otro m\u00f3dulo de kernel a\u00fan desconocido despu\u00e9s de iniciar el sistema.<\/p>\n

El m\u00f3dulo del kernel, que tambi\u00e9n presenta BlackCat como nombre del autor, implementa otras funcionalidades relacionadas con rootkit, como ocultar archivos, procesos y abrir puertos. No hay evidencia que sugiera una conexi\u00f3n con el grupo de ransomware ALPHV\/BlackCat en esta etapa.<\/p>\n

“Ya sea una prueba de concepto o no, Bootkitty marca un avance interesante en el panorama de amenazas UEFI, rompiendo la creencia de que los bootkits UEFI modernos son amenazas exclusivas de Windows”, dijeron los investigadores, y agregaron que “enfatiza la necesidad de estar preparados para posibles amenazas”. amenazas futuras.”<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n