'Bootkitty', el primer gestor de arranque que apunta a Linux

Como
Gustó

Fecha:

Los investigadores han descubierto lo que creen que es el primer malware capaz de infectar el proceso de arranque de los sistemas Linux.

“Bootkitty” es un código de prueba de concepto que los estudiantes de Corea desarrollaron para un programa de capacitación en ciberseguridad en el que participan. Aunque todavía está un poco incompleto, el bootkit es completamente funcional e incluso incluye un exploit para uno de los varios llamados Vulnerabilidades de LogoFAIL en el ecosistema de Interfaz de firmware extensible unificada (UEFI) que Binarly Research descubrió en noviembre de 2023.

Una nueva prueba de concepto

Los bootkits funcionan a nivel de firmware y se ejecutan antes de que se cargue el sistema operativo, lo que les permite eludir el proceso de arranque seguro para proteger los sistemas contra malware durante el inicio. Este malware puede persistir tras reinicios del sistema, reinstalaciones del sistema operativo e incluso el reemplazo físico de ciertas piezas, como los discos duros.

Investigadores de ESET que analizado Bootkitty Después de encontrar una muestra en VirusTotal el mes pasado, lo describieron como el primer bootkit UEFI para Linux que han encontrado. Eso es significativo porque, hasta ahora, los bootkits (el más notorio de los cuales incluye Loto negro y FinSpy — eran específicos de Windows.

“El objetivo principal [de Bootkitty] es deshabilitar la función de verificación de firma del kernel y precargar dos binarios ELF aún desconocidos a través del proceso init de Linux (que es el primer proceso ejecutado por el kernel de Linux durante el inicio del sistema)”, escribieron los investigadores de ESET Martin Smolar y Peter Strycek.

Binarly, que también analizó Bootkitty, descubrió que el malware contenía un exploit para CVE-2023-40238, una de las varias vulnerabilidades de análisis de imágenes LogoFAIL en UEFI que la compañía informó el año pasado. El exploit Bootkitty aprovecha el código shell incrustado en archivos de imagen de mapa de bits (BMP) para eludir el arranque seguro y hacer que el sistema operativo confíe en el malware, dijo Binarly. El proveedor identificó sistemas Linux de varios proveedores como vulnerables al exploit, incluidos los de Lenovo, Fujitsu, HP y Acer.

“Si bien esto parece ser una prueba de concepto en lugar de una amenaza activa, Bootkitty señala un cambio importante a medida que los atacantes expanden los ataques bootkit más allá del ecosistema de Windows”. Binarly escribió“Los cargadores de arranque del sistema operativo presentan una amplia superficie de ataque que los defensores a menudo pasan por alto, y el crecimiento constante de la complejidad solo lo empeora”.

La UEFI (y antes de eso, el ecosistema BIOS) ha sido un objetivo popular para los atacantes en los últimos años debido a que el malware que opera en ese nivel puede permanecer prácticamente indetectable en los sistemas comprometidos. Pero las preocupaciones sobre la seguridad de la UEFI realmente llegaron a un punto crítico con el descubrimiento de BlackLotus, el Primer malware que elude el arranque seguro protecciones incluso en sistemas Windows con todos los parches instalados.

El malware aprovechó dos vulnerabilidades en el proceso de arranque seguro UEFI, CVE-2022-2189, También conocido como Baton Drop, y CVE-2023-24932, para instalarse de una manera prácticamente indetectable e inamovible. La disponibilidad relativamente fácil del malware y las dificultades de Microsoft para abordarlo motivaron un llamado de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) para mejorar la protección UEFI.

“Según las respuestas a incidentes recientes relacionados con malware UEFI como BlackLotus, la comunidad de ciberseguridad y los desarrolladores de UEFI parecen estar todavía en modo de aprendizaje”, señaló CISA en ese momento. “En particular, los desarrolladores de arranque seguro UEFI no han implementado prácticas de infraestructura de clave pública (PKI) que permitan la distribución de parches”.

Kit de arranque funcional

ESET descubrió que Bootkitty contiene capacidades para modificar, en memoria, funciones que normalmente verifican la integridad de GRand Unified Bootloader (GRUB), que es responsable de cargar el kernel de Linux durante el inicio. Sin embargo, las funciones específicas que Bootkitty intenta modificar en la memoria solo son compatibles con una cantidad relativamente pequeña de dispositivos Linux, lo que sugiere que el malware es más una prueba de concepto que una amenaza activa. La presencia de varios artefactos no utilizados en el código, incluidas dos funciones para imprimir arte y texto ASCII durante la ejecución, refuerza esta teoría, dijo ESET.

Los estudiantes coreanos que desarrollaron el bootkit informaron a ESET después de que el proveedor de seguridad publicara su análisis. ESET citó a los estudiantes diciendo que habían creado el malware en un esfuerzo por difundir la conciencia sobre la posibilidad de que los bootkits estuvieran disponibles para los sistemas Linux. Se suponía que los detalles del malware solo estarían disponibles como parte de una presentación futura en una conferencia. Sin embargo, algunas muestras del bootkit terminaron siendo cargadas en VirusTotal, señalaron.

Artículos relacionados

punto_img

Artículos Recientes

punto_img