Bedrohungsdatenbank Malware Bootkitty-Malware

Bootkitty-Malware

Cybersicherheitsforscher haben das erste Unified Extensible Firmware Interface (UEFI)-Bootkit vorgestellt, das speziell für Linux-Systeme entwickelt wurde. Diese neue Entwicklung mit dem Namen Bootkitty stellt eine bedeutende Veränderung in der Cyberbedrohungslandschaft dar, in der UEFI-Bootkits traditionell überwiegend mit Windows-Plattformen in Verbindung gebracht wurden.

Bootkitty: Proof of Concept oder aufkommende Bedrohung?

Bootkitty wurde am 5. November 2024 entdeckt und ist vermutlich eher ein Proof-of-Concept (PoC) als eine aktiv eingesetzte Bedrohung. Es wird auch als IranuKit bezeichnet und es gibt derzeit keine Hinweise darauf, dass es in realen Angriffen eingesetzt wird. Das Bootkit wurde von einem Entwickler unter dem Pseudonym BlackCat erstellt und zielt in erster Linie darauf ab, die Signaturüberprüfung des Linux-Kernels zu deaktivieren und während des Linux-Initialisierungsprozesses zwei bisher nicht identifizierte ELF-Binärdateien vorzuladen. Dieser Prozess, der beim Systemstart als Ausgangspunkt des Kernels dient, ist für die Betriebssicherheit von Linux von entscheidender Bedeutung.

Ausnutzung von UEFI für Linux: Eine neue Dimension des Risikos

Das Auftauchen von Bootkitty stellt die langjährige Auffassung in Frage, dass UEFI-Bootkits ausschließlich Windows-Systemen vorbehalten sind. Mit dieser Entwicklung stehen Linux-Benutzern nun eine neue potenzielle Angriffsmöglichkeit offen. Das Bootkit nutzt ein selbstsigniertes Zertifikat, um seine Nutzlast auszuführen, was seine Funktionalität auf Systemen mit aktiviertem UEFI Secure Boot einschränkt. Es könnte jedoch immer noch funktionieren, wenn es Angreifern gelingt, ein betrügerisches Zertifikat unter ihrer Kontrolle zu installieren.

Bootkitty umgeht nicht nur Secure Boot, sondern manipuliert auch den Speicher des Linux-Kernels während des Bootvorgangs und untergräbt so Integritätsprüfungen. Bevor der GNU GRand Unified Bootloader (GRUB) ausgeführt wird, fängt das Bootkit Funktionen ab, die für die Integritätsprüfung von entscheidender Bedeutung sind, und patcht sie. Diese mehrschichtige Angriffsstrategie erfordert ein umfassendes Verständnis der internen Vorgänge von UEFI und Linux-Systemen.

Secure Boot und GRUB im Visier: Fortgeschrittene Techniken im Einsatz

Wenn Secure Boot aktiviert ist, ändert Bootkitty UEFI-Authentifizierungsprotokolle, um Integritätsprüfungen zu umgehen. Außerdem werden legitime GRUB-Bootloaderfunktionen gepatcht, um eine Erkennung zu vermeiden. Dies stellt sicher, dass unsichere Payloads ausgeführt werden können. Diese Patches erstrecken sich auf den Dekomprimierungsprozess des Linux-Kernels und ermöglichen dem Bootkit, beim Start nicht autorisierte Module zu laden.

Um seinen Angriff zu erleichtern, ändert Bootkitty die Umgebungsvariable LD_PRELOAD. Diese Anpassung zwingt den Linux-Initialisierungsprozess, zwei unbekannte gemeinsam genutzte ELF-Objekte zu laden – identifiziert als „/opt/injector.so“ und „/init“ – und erweitert so die Reichweite des Bootkits in den Systembetrieb.

BCDropper und BCObserver: Ein größeres Framework?

Die Untersuchung von Bootkitty hat ein möglicherweise verwandtes, unsigniertes Kernelmodul namens BCDropper aufgedeckt. Dieses Modul kann eine ELF-Binärdatei namens BCObserver bereitstellen, die wiederum beim Systemstart ein weiteres, nicht identifiziertes Kernelmodul lädt. Dieses zusätzliche Modul, das unter demselben Pseudonym BlackCat läuft, weist typische Funktionen von Rootkits auf, wie das Verbergen von Dateien, Prozessen und Netzwerkports. Trotz dieser erweiterten Funktionen haben die Forscher keine Beweise gefunden, die diese Aktivität mit der Ransomware-Gruppe ALPHV/BlackCat in Verbindung bringen.

Auswirkungen auf UEFI-Sicherheit und Linux-Systeme

Obwohl Bootkitty noch immer als Proof-of-Concept eingestuft wird, markiert es ein neues Kapitel in der Entwicklung von UEFI-Bootkits und erweitert deren Reichweite über Windows-Umgebungen hinaus. Diese Entwicklung unterstreicht, wie wichtig es ist, sich auf potenzielle zukünftige Bedrohungen in Linux-basierten Systemen vorzubereiten, die lange Zeit als weniger anfällig für solche Angriffe galten.

Der Aufstieg von Bootkitty unterstreicht auch die Notwendigkeit wachsamer Systemsicherheitsmaßnahmen, wie z. B. die Aktualisierung der Firmware, die Verwendung vertrauenswürdiger Zertifikate und die Aktivierung von Secure Boot, wo immer möglich. Indem Bootkitty die Machbarkeit von UEFI-Bootkits unter Linux demonstriert, dient es sowohl für Cybersicherheitsexperten als auch für Linux-Benutzer als Weckruf, ihre Abwehrmaßnahmen zu verstärken.

Im Trend

Am häufigsten gesehen

Wird geladen...