HomeVulnerabilityErstes Linux-UEFI-Bootkit ist Studentenprojekt

Erstes Linux-UEFI-Bootkit ist Studentenprojekt

Bootkits sind kein Home windows-exklusives “Characteristic” mehr.

isarisphotography | shutterstock.com

Forscher des Sicherheitsanbieters ESET hatten Ende November 2024 darüber berichtet, das erste UEFI-Bootkit für Linux-Systeme entdeckt zu haben. Bereits preliminary berichteten die ESET Researcher darüber, dass die “Bootkitty” getaufte Malware nicht “produktionsreif” ist und eher einem Proof-of-Idea (PoC) gleicht. Diese Einschätzung wurde nun bestätigt: Offenbar hatten südkoreanische Studenten das PoC im Rahmen eines staatlichen Cybersecurity-Forschungswettbewerbs entwickelt und wollten dieses auf einem Occasion der Öffentlichkeit präsentieren. Einige Samples des Linux-Bootkits wurden allerdings vorab geleakt, wie ESET in einem Replace seines Blogeintrags berichtet. Das Ziel der Studenten, die das Linux-Bootkit entwickelt haben sei demnach gewesen, die Safety-Group für potenzielle Risiken zu sensibilisieren.

Das dürften sie trotz des Leaks erreicht haben, denn auch wenn der Bootkitty-Prototyp nicht einsatzbereit ist, unterstreicht seine Existenz laut den ESET-Sicherheitsexperten eine wichtige Botschaft: „UEFI-Bootkits sind nicht mehr nur auf Home windows-Systeme beschränkt.“

UPDATE: #ESETresearch was contacted by one of many doable authors of the Bootkitty bootkit, claiming the bootkit is part of undertaking created by cybersecurity college students collaborating in Korea’s Better of the Greatest (BoB) coaching program. 1/2
www.welivesecurity.com/en/eset-rese…

[image or embed]

— ESETResearch (@esetresearch.bsky.social) 2. Dezember 2024 um 20:04

Warum Bootkitty wichtig ist

Das Ziel eines Boot-Degree-Rootkits oder Bootkits besteht darin, bereits im Rahmen des Boot-Vorgangs – additionally bevor das Betriebssystem geladen wird – Schadcode in Systeme einzuschleusen. Das ermöglicht der Malware, ihre Dateien und Prozesse mit Hilfe von Kernel-Privilegien zu verbergen. Die auf dem Betriebssystem installierten Safety-Lösungen werden damit ausgehebelt, respektive umgangen.

See also  Microsoft Rolls Out Patches for 73 Flaws, Together with 2 Home windows Zero-Days

Ein Weg, das zu bewerkstelligen, besteht darin, ein schadhaftes Modul in die Firmware des Rechners einzuschleusen, auch bekannt als UEFI (oder BIOS auf älteren Systemen). Die Safe-Boot-Funktion von UEFI soll vor Angriffen dieser Artwork schützen und verifiziert dazu die Signatur von sämtlichem Code, der während des Boot-Vorgangs geladen wird. Das von Bootkitty eingeschleuste Modul ist mit einem selbst generierten Zertifikat signiert. Deshalb kann die Malware Safe Boot nur dann umgehen, wenn der Benutzer aktiv zustimmt und dieses Zertifikat als vertrauenswürdig akzeptiert.

Darüber hinaus weist Bootkitty in seiner PoC-Kind weitere Limitationen auf. Beispielsweise funktioniert das Bootkit nur mit einigen, wenigen Ubuntu-Linux-Distributionen und erfordert spezifische Konfigurationen. Allerdings lassen sich diese Einschränkungen beheben. Für Black-Hat-Hacker stellt das erste Linux-UEFI-Bootkit potenziell eine unheilvolle Inspiration dar. (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser E-newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

vgwort

See also  How next-gen firewalls meet the calls for of a brand new risk panorama
- Advertisment -spot_img
RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisment -

Most Popular