El primer Bootkit UEFI para Linux

Iniciado por AXCESS, Diciembre 01, 2024, 02:03:14 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha descubierto el primer bootkit UEFI dirigido específicamente a sistemas Linux, lo que marca un cambio en las amenazas de bootkit sigilosas y difíciles de eliminar que antes se centraban en Windows.

El malware para Linux, denominado "Bootkitty", es una prueba de concepto que funciona solo en algunas versiones y configuraciones de Ubuntu, en lugar de ser una amenaza completa implementada en ataques reales.

Los bootkits son malware diseñados para infectar el proceso de arranque de un equipo, cargándose antes que el sistema operativo y permitiéndole obtener el control de un sistema a un nivel muy bajo.

La ventaja de esta práctica es que los bootkits pueden evadir las herramientas de seguridad que se ejecutan a nivel del sistema operativo y modificar los componentes del sistema o inyectar código malicioso sin correr el riesgo de ser detectados.

Los investigadores de ESET que descubrieron Bootkitty advierten que su existencia es una evolución significativa en el espacio de amenazas de bootkit UEFI a pesar de las implicaciones actuales en el mundo real.

Un bootkit de Linux en desarrollo

ESET descubrió Bootkitty después de examinar un archivo sospechoso (bootkit.efi) cargado en VirusTotal en noviembre de 2024.

Tras el análisis, ESET confirmó que este era el primer caso de un bootkit UEFI de Linux que elude la verificación de la firma del kernel y precarga componentes maliciosos durante el proceso de arranque del sistema.

Bootkitty se basa en un certificado autofirmado, por lo que no se ejecutará en sistemas con Arranque seguro habilitado y solo se dirige a ciertas distribuciones de Ubuntu.

Además, las compensaciones codificadas y la coincidencia simplista de patrones de bytes hacen que solo se pueda usar en versiones específicas de GRUB y kernel, por lo que no es adecuado para una implementación generalizada.

ESET también advierte que el malware contiene muchas funciones no utilizadas y maneja deficientemente la compatibilidad de versiones del kernel, lo que a menudo provoca fallas del sistema.

La naturaleza defectuosa del malware y el hecho de que la telemetría de ESET no muestra señales de Bootkitty en los sistemas en vivo llevaron a los investigadores a concluir que se encuentra en una etapa temprana de desarrollo.

Capacidades de Bootkitty

Durante el arranque, Bootkitty se conecta a los protocolos de autenticación de seguridad UEFI (EFI_SECURITY2_ARCH_PROTOCOL y EFI_SECURITY_ARCH_PROTOCOL) para eludir las comprobaciones de integridad de Secure Boot, lo que garantiza que el bootkit se cargue independientemente de las políticas de seguridad.

A continuación, se conecta a varias funciones de GRUB como 'start_image' y 'grub_verifiers_open' para manipular las comprobaciones de integridad del cargador de arranque para los binarios, incluido el kernel de Linux, desactivando la verificación de firmas.

A continuación, Bootkitty intercepta el proceso de descompresión del kernel de Linux y se conecta a la función 'module_sig_check'. Esto lo obliga a devolver siempre éxito durante las comprobaciones de módulos del kernel, lo que permite que el malware cargue módulos maliciosos.

Además, reemplaza la primera variable de entorno con 'LD_PRELOAD=/opt/injector.so' para que la biblioteca maliciosa se inyecte en los procesos al iniciar el sistema.

Parte del flujo de ejecución de Bootkitty. Fuente: ESET
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Todo este proceso deja atrás varios artefactos, algunos intencionados y otros no, explica ESET, lo que es otro indicio de la falta de refinamiento de Bootkitty.

Los investigadores también observaron que el mismo usuario que subió Bootkitty a VT también subió un módulo de kernel sin firmar llamado 'BCDropper', pero la evidencia disponible vincula débilmente a ambos.

BCDropper suelta un archivo ELF llamado 'BCObserver', un módulo de kernel con funcionalidad de rootkit que oculta archivos, procesos y abre puertos en el sistema infectado.

El descubrimiento de este tipo de malware ilustra cómo los atacantes están desarrollando malware para Linux que antes estaba aislado de Windows a medida que la empresa adopta cada vez más Linux.

Los indicadores de compromiso (IoC) asociados con Bootkitty se han compartido en este repositorio de GitHub:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta