Erstes UEFI-Bootkit für Linux-Systeme in freier Wildbahn entdeckt

    Erstes UEFI-Bootkit für Linux-Systeme in freier Wildbahn entdeckt

    Quelle: https://winfuture.de/news,147109.html

    ------------------------

    Bootkits waren bisher vor allem im Windows-Bereich ein Problem. Nun aber haben Sicherheitsforscher auch eine solche Malware in freier Wildbahn entdeckt, die Linux-basierte Systeme angreift und so beispielsweise zu einem Problem für große Infrastrukturen wird.

    Bootkitty hat noch Schwächen:
    Bootkits arbeiten auf Ebene der Firmware und sind so vor Sicherheitsmechanismen des Betriebssystems - das erst nach ihnen geladen wird - weitgehend geschützt. Entsprechend helfen auch weder Neuinstallation noch Festplatten-Tausch, um solch eine Malware wieder loszuwerden.

    Sicherheitsforscher des Unternehmens Eset entdeckten das Programm namens "Bootkitty" erstmals in einer Datei, die auf der Plattform VirusTotal hochgeladen wurde. Obwohl die Malware derzeit nur auf bestimmten Ubuntu-Versionen funktioniert und technische Schwächen aufweist, sehen die Experten darin einen wichtigen Meilenstein: "Bootkitty zeigt, dass UEFI-Bootkits nicht länger nur eine Windows-Bedrohung sind", so die ESET-Forscher.


    Zu den Schwächen von Bootkitty gehört unter anderem die mangelhafte Überprüfung von Kernel-Versionen. Fehlerhafte Modifikationen können dazu führen, dass das System abstürzt, anstatt infiziert zu werden. Zudem ist Bootkitty nicht in der Lage, die Sicherheitsfunktion Secure Boot zu umgehen, die den Startvorgang mithilfe kryptografischer Signaturen schützt. Geräte mit aktiviertem Secure Boot sind daher vor dieser Malware sicher, sofern die Schutzmechanismen nicht anderweitig kompromittiert wurden.


    Firmware im Visier:
    Trotz seiner derzeitigen Unzulänglichkeiten zeigt Bootkitty, dass Cyberkriminelle zunehmend Ressourcen in die Entwicklung von UEFI-Bootkits für Linux stecken. Dies ist insbesondere für weitergehende Angriffe auf Firmen-Infrastrukturen oder Datenzentren von Interesse. Rein technisch geraten so aber auch Android-Smartphones ins Schussfeld der Bootkit-Entwickler.

    Die Entdeckung unterstreicht die Notwendigkeit, die Sicherheit von UEFI-Firmware stärker zu überwachen. Derzeit gibt es kaum einfache Methoden, um die Integrität der Firmware zu prüfen - weder für Windows- noch für Linux-Systeme. Experten erwarten, dass die Nachfrage nach solchen Sicherheitslösungen in Zukunft steigen wird.

    Asrock Taichi X399M | AMD Ryzen Threadripper 2950x | 2x 16 GB G.Skill Tridentz DDR4-3600 | Saphire Radeon RX 7900 XT | Cooler Master V1200 Platinum - 1200W 80+ Platinum

    Hallo


    Eine ziemlich geringe Wahrscheinlichkeit gegen [NULL] für "Normaluser" aber ..

    Bootkitty: Analyzing the first UEFI bootkit for Linux
    ESET's discovery of the first UEFI bootkit designed for Linux sendss an important message: UEFI bootkits are no longer confined to Windows systems alone.
    www.welivesecurity.com

    Zudem. 8|

    Quote

    Note that the BlackCat name is referenced also in the loadable kernel module described later. Despite the name, we believe there is no connection to the ALPHV/BlackCat ransomware group. This is because BlackCat is a name used by researchers and Bootkitty was developed in C, while the group calls itself ALPHV and develops its malware exclusively in Rust.

    As mentioned earlier, Bootkitty currently supports only a limited number of systems. The reason is that to find the functions it wants to modify in memory, it uses hardcoded byte patterns. While byte-pattern matching is a common technique when it comes to bootkits, the authors didn’t use the best patterns for covering multiple kernel or GRUB versions; therefore, the bootkit is fully functional only for a limited number of configurations. What limits the use of the bootkit even more is the way it patches the decompressed Linux kernel: as shown in Figure 4, once the kernel image is decompressed, Bootkitty simply copies the malicious patches to the hardcoded offsets within the kernel image.

    Lerne zu sehen. Erkenne, dass alles mit allem verbunden ist

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login