Исследователи из компании ESET выявили новый буткит «Bootkitty», устанавливаемый после взлома системы вместо загрузчика GRUB и применяемый для подстановки в ядро Linux вредоносных компонентов, которые затем позволяют атакующему скрыто контролировать систему и выполнять в ней свои действия. Утверждается, что это первый UEFI-буткит, нацеленный на поражение систем Linux.
Bootkitty размещается в файле grubx64.efi в системном разделе EFI (EFI system partition, /boot/efi/EFI/ubuntu) вместо штатного загрузчика GRUB. После активации UEFI-прошивкой буткит загружает в память реальный загрузчик GRUB2 и вносит в размещённый в памяти код GRUB2 изменения, отключающие проверку целостности компонентов, загружаемых в дальнейшем, а также добавляет обработчик, вызываемый после распаковки образа ядра Linux в память. Указанный обработчик вносит изменения в загруженные в память функции ядра (отключает проверку модулей по цифровой подписи), а также изменяет строку запуска процесса инициализации с «/init» на «LD_PRELOAD=/opt/injector.so /init)».
Библиотека injector.so перехватывает некоторые операции SELinux и функцию init_module, которая затем используется для загрузки модуля ядра /opt/dropper.ko. Модуль ядра dropper.ko создаёт и запускает исполняемый файл /opt/observer, затем скрывает себя в списке модулей ядра и выставляет обработчики системных вызовов, таких как getdents и tcp4_seq_show, для скрытия файла /opt/observer и определённого сетевого трафика. Исполняемый файл /opt/observer загружает модуль ядра /opt/rootkit_loader.ko, который является загрузчиком руткита /opt/rootkit.
La instal·lació d'un kit d'arrencada requereix un accés privilegiat al sistema i, normalment, aquests tipus de programari maliciós són utilitzats pels atacants després de piratejar o comprometre un sistema amb èxit per establir la seva presència i ocultar la seva activitat maliciosa. L'atacant col·loca la biblioteca injector.so i els mòduls del nucli maliciós a la imatge inicial del disc RAM o al sistema de fitxers. El carregador d'arrencada grubx64.efi es col·loca a la partició amb fitxers per a UEFI.
В варианте Bootkitty, попавшем в руки исследователей, модификация функций в памяти ядра производилась по заранее определённым смещениям без проверки корректности этих смещений для загруженной версии ядра. используемые в Bootkitty смещения были применимы лишь к версиям ядра и GRUB, поставляемым в определённых выпусках Ubuntu, а в остальных системах приводили к сбою при загрузке. Для верификации загрузчика Bootkitty (grubx64.efi) использовался самоподписанный сертификат, что не позволяло применять буткит на системах с включённым режимом UEFI Secure Boot без установки сертификата атакующего в список заслуживающих доверия сертификатов в UEFI. Подобные особенности натолкнули исследователей на мысль, что Bootkitty лишь прототип буткита, пока не применяемый для реальных атак.
Després d'estudiar la informació publicada per ESET, els investigadors de Binarly REsearch van observar entre els artefactes relacionats amb Bootkitty imatges BMP utilitzades per explotar la vulnerabilitat LogoFAIL, que permet executar codi al nivell de microprogramari UEFI i evitar el mecanisme d'arrencada segura UEFI. En el context de Bootkitty, l'explotació de la vulnerabilitat LogoFAIL es va utilitzar per afegir a la llista de certificats UEFI aprovats el certificat autofirmat de l'atacant, que s'utilitza per autenticar el carregador de bootkit grubx64.efi, que va permetre llançar el bootkit. en sistemes amb UEFI Secure Boot actiu sense afegir el certificat manualment.
L'atac es porta a terme col·locant una imatge especialment dissenyada en format BMP a la secció ESP (EFI System Partition) per a la sortida del microprogramari UEFI com a logotip del fabricant. A causa de l'ús de biblioteques d'imatges vulnerables al microprogramari UEFI, el processament d'una imatge especialment dissenyada pot provocar un desbordament de memòria intermèdia i l'execució de codi amb privilegis del microprogramari UEFI. La vulnerabilitat LogoFAIL es va descobrir fa un any i va afectar el firmware UEFI, entre d'altres, utilitzat en ordinadors portàtils d'Acer, HP, Fujitsu i Lenovo. Les noves versions del microprogramari UEFI han solucionat el problema, però molts dispositius en ús continuen funcionant amb versions de microprogramari vulnerables.
Font: opennet.ru
