详细内容或原文请订阅后点击阅览
网上发现的代码利用 LogoFAIL 安装 Bootkitty Linux 后门
无
来源:Packet Storm _恶意软件通常情况下,安全启动会阻止 UEFI 运行所有后续文件,除非它们带有数字签名,证明这些文件受到设备制造商的信任。该漏洞通过在启动过程中注入 UEFI 显示的恶意位图图像中隐藏的 shell 代码来绕过此保护。注入的代码会安装一个加密密钥,该密钥对恶意 GRUB 文件以及 Linux 内核的后门映像进行数字签名,这两者都在 Linux 机器的启动过程的后期阶段运行。
UEFI GRUB此密钥的静默安装会诱导 UEFI 将恶意 GRUB 和内核映像视为受信任的组件,从而绕过安全启动保护。最终结果是在加载任何其他安全防御之前,后门就会潜入 Linux 内核。
图表展示了 Binarly 在野外发现的 LogoFAIL 漏洞的执行流程。图片来源:Binarly
图片来源:Binarly在一次在线采访中,runZero 的首席技术官兼联合创始人、固件恶意软件专家 HD Moore 这样解释了 Binarly 的报告:
Binarly 的论文指出,有人利用 LogoFAIL 漏洞配置 UEFI 有效负载,通过诱骗固件接受其自签名密钥(然后将其作为 MOK 变量存储在固件中)来绕过安全启动(固件)。恶意代码仍然仅限于 UEFI 的用户端,但 LogoFAIL 漏洞确实允许他们将自己的签名密钥添加到固件的允许列表中(但不会以任何其他方式感染固件)。