详细内容或原文请订阅后点击阅览
Bootkitty:分析 Linux 的第一个 UEFI 启动套件
ESET 研究人员分析了第一个为 Linux 系统设计的 UEFI 启动套件
来源:WeLiveSecurity _恶意软件在过去的几年中,UEFI 威胁形势,尤其是 UEFI 启动套件的威胁形势,发生了重大变化。这一切始于 Andrea Allievi 于 2012 年描述的第一个 UEFI 启动套件概念验证 (PoC),它作为在基于 UEFI 的现代 Windows 系统上部署启动套件的演示,随后出现了许多其他 PoC(EfiGuard、Boot Backdoor、UEFI-bootkit)。几年后,才在野外发现了前两个真正的 UEFI 启动套件(ESPecter,2021 ESET;FinSpy bootkit,2021 Kaspersky),又过了两年,臭名昭著的 BlackLotus 出现了——这是第一个能够绕过最新系统上的 UEFI 安全启动的 UEFI 启动套件(2023 年,ESET)。
描述 EfiGuard Boot Backdoor UEFI-bootkit ESPecter FinSpy bootkit BlackLotus这些公开的 bootkit 的共同点是它们专门针对 Windows 系统。今天,我们揭晓了我们的最新发现:第一个为 Linux 系统设计的 UEFI bootkit,其创建者将其命名为 Bootkitty。我们认为这个 bootkit 仅仅是一个初步的概念验证,根据我们的遥测,它还没有被广泛部署。话虽如此,它的存在强调了一个重要的信息:UEFI bootkit 不再仅限于 Windows 系统。
这些公开的 bootkit 的共同点是它们专门针对 Windows 系统。今天,我们揭晓了我们的最新发现:第一个为 Linux 系统设计的 UEFI 启动套件,其创建者将其命名为 Bootkitty。我们认为这个启动套件仅仅是一个初步的概念验证,根据我们的遥测,它还没有被广泛部署。话虽如此,它的存在强调了一个重要的信息:UEFI 启动套件不再仅限于 Windows 系统。 init本博文的要点:
本博文的要点: