Bootkitty 발견: Linux용으로 설계된 최초의 UEFI 부트킷

  • Bootkitty는 Linux 시스템용으로 설계된 최초의 UEFI 부트킷이 됩니다.
  • ESET 연구원이 발견한 이 솔루션은 Ubuntu의 일부 버전을 대상으로 하며 실험적인 접근 방식을 가지고 있습니다.
  • 이 악성코드는 커널 서명 확인을 비활성화하고 고급 방법을 사용하여 보안 메커니즘을 우회합니다.
  • ESET은 향후 개발 가능성에 대비해 Linux에서 사이버 보안을 강화하는 것이 중요하다는 점을 강조합니다.

부트키티

Un 최근의 발견은 사이버 보안 현장을 뒤흔들었습니다. 연구원들은 Linux 시스템용으로 특별히 설계된 최초의 UEFI 부트킷을 확인했습니다. 부트키티 제작자에 의해. 이번 발견은 역사적으로 거의 전적으로 Windows 시스템에만 집중되었던 UEFI 위협이 크게 발전했음을 나타냅니다. 하지만 해당 악성코드는 개념 증명 단계에 있는 것으로 보입니다., 그 존재는 미래에 더욱 정교한 위협이 발생할 수 있는 가능성을 열어줍니다.

최근 몇 년 동안 UEFI 위협은 눈에 띄는 진전을 보였습니다. 2012년의 첫 번째 개념 증명부터 ESPecter 및 BlackLotus와 같은 최신 사례에 이르기까지 보안 커뮤니티에서는 이러한 공격의 복잡성이 증가하는 것을 확인했습니다. 그러나 Bootkitty는 Linux 시스템, 특히 일부 Ubuntu 버전으로 관심을 돌리는 중요한 변화를 나타냅니다.

Bootkitty 기술 기능

부트키티 앞선 기술력이 돋보입니다. 이 악성코드는 중요한 인메모리 확인 기능을 패치하여 UEFI 보안 부팅 보안 메커니즘을 우회하는 방법을 사용합니다. 이렇게 하면 보안 부팅 활성화 여부에 관계없이 Linux 커널을 로드할 수 있습니다.

Bootkitty의 주요 목표는 다음과 같습니다. 커널 서명 확인 비활성화 그리고 예압 알려지지 않은 악성 ELF 바이너리 그 과정을 통해서 INIT 리눅스의. 그러나 최적화되지 않은 코드 패턴과 고정된 오프셋의 사용으로 인해 그 효율성은 소수의 구성과 커널 버전으로 제한되며, GRUB.

맬웨어의 특징은 실험적 특성입니다. 내부 테스트나 데모용으로 보이는 손상된 기능이 포함되어 있습니다. 이는 그와 함께 작동 불능 기본적으로 보안 부팅이 활성화된 시스템에서는 아직 개발 초기 단계에 있음을 나타냅니다.

모듈식 접근 방식 및 다른 구성요소와의 가능한 링크

분석하는 동안 연구원들은 ESET 그들은 또한 동일한 Bootkitty 작성자가 개발했을 가능성이 있는 BCDropper라는 서명되지 않은 커널 모듈을 식별했습니다. 이 모듈에는 열린 파일, 프로세스 및 포트를 숨기는 기능과 같은 고급 기능이 포함되어 있습니다. 루트킷의 일반적인 특징.

BCDropper 또한 아직 식별되지 않은 또 다른 커널 모듈을 로드하는 BCObserver라는 ELF 바이너리를 배포합니다. 이러한 구성 요소와 Bootkitty 간의 직접적인 관계는 확인되지 않았지만 해당 이름과 동작을 보면 연관성이 있음을 알 수 있습니다.

Bootkitty 영향 및 예방 조치

부트키티인데도 아직은 실질적인 위협이 되지는 않습니다 대부분의 Linux 시스템에서 이 시스템의 존재는 향후 발생할 수 있는 위협에 대비해야 한다는 점을 강조합니다. Bootkitty와 관련된 참여 지표는 다음과 같습니다.

  • 커널에서 수정된 문자열: 명령으로 표시 uname -v.
  • 변수의 존재 LD_PRELOAD 아카이브에서 /proc/1/environ.
  • 서명되지 않은 커널 모듈을 로드하는 기능: 보안 부팅이 활성화된 시스템에서도 가능합니다.
  • 커널은 변조 가능성을 나타내는 "오염됨"으로 표시됩니다.

이러한 유형의 맬웨어로 인한 위험을 완화하기 위해 전문가는 UEFI 보안 부팅을 활성화하고 펌웨어, 운영 체제 및 UEFI 해지 목록을 확인하는 것이 좋습니다. 업데이트되었습니다.

UEFI 위협의 패러다임 변화

Bootkitty는 UEFI 부트킷이 Windows 전용이라는 인식에 도전할 뿐만 아니라, 뿐만 아니라 Linux 기반 시스템에 대한 사이버 범죄자의 관심 증가. 아직은 개발 단계이지만, 그 모습은 이런 환경에서 보안을 강화하라는 경각심을 불러일으킨다.

이번 발견은 사전 예방적인 감시와 실행의 필요성을 강화합니다. 고급 보안 조치 펌웨어 및 부팅 프로세스 수준에서 취약점을 악용할 수 있는 잠재적인 위협을 완화합니다.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.