详细内容或原文请订阅后点击阅览
Bootkitty 是第一个为 Linux 系统设计的 UEFI Bootkit
ESET 发现了第一个专为 Linux 系统设计的统一可扩展固件接口 (UEFI) 启动套件,名为 Bootkitty。来自 ESET 的网络安全研究人员发现了第一个专为 Linux 系统设计的 UEFI 启动套件,其作者称之为 Bootkitty。该启动套件允许攻击者禁用内核的签名验证功能并预加载两个尚未知晓的 ELF […]
来源:Security Affairs _恶意软件Bootkitty 是第一个为 Linux 系统设计的 UEFI Bootkit
Bootkitty 是第一个为 Linux 系统设计的 UEFI Bootkit
Pierluigi Paganini Pierluigi Paganini 2024 年 11 月 27 日ESET 发现了第一个专门为 Linux 系统设计的统一可扩展固件接口 (UEFI) 启动套件,名为 Bootkitty。
ESET 的网络安全研究人员发现了第一个针对 Linux 系统设计的 UEFI 启动套件,其作者称之为 Bootkitty。
该启动套件允许攻击者禁用内核的签名验证功能并通过 Linux init 进程预加载两个尚未知晓的 ELF 二进制文件。
2024 年 11 月,一个名为 bootkit.efi 的未知 UEFI 应用程序被上传到 VirusTotal。
VirusTotal“我们的初步分析证实它是一个 UEFI 启动套件,其创建者将其命名为 Bootkitty,令人惊讶的是,它是第一个针对 Linux 的 UEFI 启动套件,具体来说,是几个 Ubuntu 版本。” ESET 发布的咨询报告中写道。 “Bootkitty 由自签名证书签名,因此除非安装了攻击者的证书,否则无法在启用了 UEFI 安全启动的系统上运行。”
“我们的初步分析证实它是一个 UEFI 启动套件,其创建者将其命名为 Bootkitty,令人惊讶的是,它是第一个针对 Linux 的 UEFI 启动套件,具体来说,是几个 Ubuntu 版本。” ESET 发布的咨询报告中写道。 “Bootkitty 由自签名证书签名,因此除非安装了攻击者的证书,否则无法在启用了 UEFI 安全启动的系统上运行。” 咨询研究人员注意到 bootkit.efi 中的许多工件,这表明该二进制文件很可能是一个从未在野外攻击中使用过的概念证明。
作者使用自签名证书对 Bootkitty 进行了签名,因此除非安装了攻击者的证书,否则该恶意软件无法在启用了 UEFI 安全启动的系统上运行。
Bootkitty 通过修补内存中的完整性验证功能绕过 UEFI 安全启动,从而实现无缝 Linux 内核启动。
( –