image

ESET: eerste proof of concept UEFI-bootkit voor Linux-systemen ontdekt

woensdag 27 november 2024, 11:48 door Redactie, 7 reacties

Onderzoekers van antivirusbedrijf ESET hebben naar eigen zeggen de eerste proof of concept UEFI-bootkit voor Linux ontdekt. Het hoofddoel van de bootkit is het uitschakelen van de signature verification feature van de Linux-kernel en het vooraf laden van twee nog onbekende ELF-binaries via het Linux “init”-proces, het eerste proces dat de Linux-kernel uitvoert tijdens het opstarten van het systeem.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Een bootkit kan code op UEFI-niveau uitvoeren en het besturingssysteem aanpassen voordat het is geladen.

De bootkit, met de naam Bootkitty, ondersteunt op het moment alleen een aantal Ubuntu-versies. De malware werd geüpload naar Googles online virusscandienst VirusTotal en kwam zo bij de onderzoekers terecht. Bootkitty is gesigneerd door een zelfondertekend certificaat en kan dus niet worden uitgevoerd op systemen waarop UEFI Secure Boot standaard is ingeschakeld. De bootkit is ontworpen om de Linux-kernel naadloos op te starten, of UEFI Secure Boot nu is ingeschakeld of niet, omdat het in het geheugen de noodzakelijke functies patcht die verantwoordelijk zijn voor integriteitsverificatie, nog voordat de GRUB-bootloader wordt gestart.

"De bootkit is een geavanceerde rootkit die de bootloader kan vervangen en de kernel kan patchen voordat deze wordt uitgevoerd", aldus de onderzoekers. Via de bootkit kunnen aanvallers volledige controle over het getroffen systeem krijgen, omdat het opstartproces wordt overgenomen en het mogelijk is malware uit te voeren nog voordat het besturingssysteem is opgestart. Tijdens de analyse werd een mogelijk gerelateerde niet-ondertekende kernelmodule ontdekt die mogelijk door dezelfde auteur is ontwikkeld. Deze module laadt een andere, voor de onderzoekers nog onbekende kernelmodule.

Op basis van de werking van de bootkit, waaronder het crashen van systemen, denken de onderzoekers dat het hier om een proof of concept gaat. ESET heeft de malware nog niet in het wild aangetroffen. De virusbestrijder merkt op dat Bootkitty op dit moment geen echte bedreiging voor Linux-systemen vormt, maar de ontdekking een interessante ontwikkeling is.

Reacties (7)
27-11-2024, 17:41 door Anoniem
We weten toch al lang wat de problemen zijn met BIOS / UEFI
Wat voor zin heeft het om malware uit te voeren nog voordat het ge-encrypte besturingssysteem is opgestart?
B.t.w. Ik vind https://www.coreboot.org veel interessanter.
27-11-2024, 19:36 door Anoniem
Zonder ondertekening met een van de sleutels in je UEFI firmware, zal deze malware niet starten. Dus het wordt pas interessant als deze malware in staat is te draaien door het gebruik van zulke sleutels. Bijvoorbeeld als de malware ondertekend is door Microsoft.

Verder vermoed ik dat vele linux distributies zonder Secure Boot ingeschakeld zullen draaien. Omdat het niet triviaal is om te programmeren en ook nog eens ondertekend te krijgen door Microsoft. Ubuntu is daar een uitzondering op (maar alleen met een GPT indeling van de harde schijf). Zonder Secure Boot bescherming is het infecteren met een rootkit triviaal (en het verwijderen van de rootkit ook vanaf externe media).
27-11-2024, 19:58 door Anoniem
ESET komt hier niet meer op. Hebben al onze windows terminal servers laten crashen door een dagelijkse update.
28-11-2024, 06:01 door Anoniem
Door Anoniem: ESET komt hier niet meer op. Hebben al onze windows terminal servers laten crashen door een dagelijkse update.

Dan blijft er weinig over, want zoiets overkomt zo'n beetje elke antivirusfabrikant of het gaat nog gebeuren.
28-11-2024, 09:25 door Anoniem
Door Anoniem: ESET komt hier niet meer op. Hebben al onze windows terminal servers laten crashen door een dagelijkse update.
Ik ben verbaasd om dit te horen, ikzelf heb door de jaren heen heel wat verschillende merken virusscanner onder handen gehad en eerlijk gezegd heb ik de minste problemen met ESET.
28-11-2024, 10:47 door Anoniem
Antivirus bedrijven leven van 1 ding: Angst (FUD).
Ja, ook jouw linux server is kwetsbaar dus ik zou maar snel onze software kopen!

Dat deze 'rootkit' in de praktijk helemaal niet werkt (proof of concept, enkel specifieke Ubuntu versies) en rootkits in principe niet direct met het OS te maken heeft, is niet relevant. Koop mijn product!
28-11-2024, 13:37 door Anoniem
Door Anoniem: Antivirus bedrijven leven van 1 ding: Angst (FUD).
Ja, ook jouw linux server is kwetsbaar dus ik zou maar snel onze software kopen!

Dat deze 'rootkit' in de praktijk helemaal niet werkt (proof of concept, enkel specifieke Ubuntu versies) en rootkits in principe niet direct met het OS te maken heeft, is niet relevant. Koop mijn product!

Dan zijn het toch knap slechte verkopers. Twee citaten:
A simple remedy tip to get rid of the bootkit is to move the legitimate /EFI/ubuntu/grubx64-real.efi file back to its original location, which is /EFI/ubuntu/grubx64.efi.
en:
To keep your Linux systems safe from such threats, make sure that UEFI Secure Boot is enabled, your system firmware and OS are up-to-date, and so is your UEFI revocations list.

Ze vergeten helemaal om je aan te raden maar snel hun product te kopen!

Misschien heb je heel wat minder last van FUD met personeelsleden die in plaats van zelf van alles te gaan fantaseren gewoon even lezen wat er staat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.