研究人员发现首款能够感染 Linux 系统 boot 进程的恶意软件，名为 “Bootkitty”。

Bootkitty 是韩国学生为一款网络安全训练程序开发的概念验证代码。尽管尚未开发完成，但该bootkit 已可完全运行，甚至其中包含Binarly 公司在2023年11月发现的UEFI 生态系统中 LogoFAIL 多个漏洞其中之一的exp。

新型概念验证

Bootkit 在固件级别操作并在操作系统加载之前执行，从而在启动阶段绕过为保护系统免遭恶意软件攻击的安全启动进程。这类恶意软件在系统重启、操作系统卸载以及取代某些部件如硬盘驱动后，仍然存活。

ESET公司的研究员上个月从 VirusTotal 发现了一份 Bootkitty 样本并分析提到，它是首款针对 Linux 的UEFI bootkit。也就是说现在之前，包含 BlackLotus 和 FinSpy 等最臭名昭著的 bootkit 一直针对的只是 Windows 系统。

ESET 公司的研究员提到，“Bootkitty 的主要目标是禁用内核的签名验证特性，并通过 Linux 初始化进程（Linux 内核在系统启动时执行的首个进程）来预加载两个未知的 ELF 二进制。”

Binarly 公司也分析了 Bootkitty，该公司指出，该恶意软件中包含CVE-2023-40238的exp。该漏洞是该公司在去年发现的多个图像解析漏洞 LogoFAIL 中的一个。该 Bootkitty exp 利用 BMP 文件中内嵌的 shellcode 绕过安全启动进程并使OS 信任该恶意软件。该公司还提到多家厂商易受该exp影响，包括但不限于富士通、惠普等。

Binarly 公司的研究人员提到，“虽然它似乎只是概念验证而非活跃威胁，但Bootkitty 标志着攻击者将 bootkit 攻击扩展到 Windows 生态系统之外的重大变化。该操作系统启动加载器是庞大但常被防御人员忽略的攻击面，复杂度的不断提升让情况更加糟糕。”

UEFI（即此前的BIOS 生态系统）是近年来攻击者的热门目标，因为恶意软件在该层面的操作方式导致它在受陷系统上实际上仍然是无法检测到的。但随着首款可绕过完全打补丁的 Windows 系统安全启动防御措施的恶意软件 BlackLotus 的出现，关于 UEFI 安全的担忧爆发。

该恶意软件利用的是UEFI安全启动进程中的两个漏洞CVE-2022-2189和CVE-2023-24932将其以无法检测和无法删除的方式安装。这款恶意软件相对容易获得，加上微软难以轻松修复的情况，促使CISA呼吁改进UEFI 防御措施。CISA当时提到，“从最近对 UEFI 恶意软件如 BlackLotus 的事件响应情况来看，网络安全社区和UEFI 开发人员似乎仍然处于学习模式。具体而言，UEFI安全启动开发人员并未全部执行PKI实践以启用补丁分发。”

起作用的bootkit

ESET 公司发现，Bootkitty 能够在内存中修改函数，这些函数通常负责验证用于加载Linux 内核在启动阶段的 GRUB 的完整性。然而，Bootkitty 试图在内存中修改的特定函数仅受少量 Linux 设备的支持，表明该恶意软件只是概念验证而非活跃威胁，这可从代码中存在多个未使用部件（含两个用于在执行过程中打印ASCII 艺术和文本的两个函数）中看出。

ESET公司援引开发该bootkit的韩国学生的话表示，他们创建该恶意软件的目的是引起大家对针对 Linux 系统的bootkit的重视。该恶意软件的详情将在之后的安全会议上发布。不过这些学生表示，发现VirusTotal上已出现该bootkit的一些样本。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~