详细内容或原文请订阅后点击阅览
专家称,首个适用于 Linux 的 UEFI 启动套件正在开发中
Bootkitty 不会咬人……安全研究人员表示,他们偶然发现了有史以来第一个针对 Linux 的 UEFI 启动包,这说明了此类工具发展的关键时刻。
来源:The Register _恶意软件安全研究人员表示,他们偶然发现了有史以来第一个针对 Linux 的 UEFI 启动套件,这标志着此类工具发展的关键时刻。
斯洛伐克安全公司 ESET 将其称为“Bootkitty”,本月早些时候,恶意软件百科全书 VirusTotal 检测到了该启动套件的第一个样本。
研究人员 Martin Smolár 和 Peter Strýček 表示,它似乎只针对有限数量的 Ubuntu 版本,有迹象表明它目前只是一个概念验证。目前,它还没有被任何老练的攻击运营商积极开发或广泛使用。
说话虽如此,这一发现表明,正在开展工作以针对更广泛的潜在目标,并消除了之前认为 UEFI 启动套件仅适用于 Windows 系统的想法。
Bootkit 领域的最后一次重大发展可以说是 BlackLotus 和它可以绕过安全启动的发现。
绕过安全启动ESET 在 2023 年再次成为这一发现的来源,Smolár 在深入研究价值 5,000 美元的 bootkit 一年后证实,它兑现了广告,确实绕过了 Windows 11 安全启动。
然而,Bootkitty 还没有那么先进。它无法在启用安全启动的 Linux 系统上运行。bootkit 是一个自签名证书,因此为了在受安全启动保护的系统上运行,系统必须已经安装了攻击者的证书。
ESET 的分析发现,Bootkitty 挂钩各种功能以确保固件不会验证或检查其身份验证状态,并修补解压缩的内核映像。
Smolár 和 Strýček 表示,修补解压的内核映像的方式是 bootkit 当前形式的一个重大限制。
研究人员认为,相同的限制字节模式也意味着 bootkit 通常会导致系统崩溃,而不是完全入侵,这可能是其意图。
分析 ALPHV/BlackCat 改变医疗保健 Rust