Los investigadores han descubierto lo que creen que es el primer malware capaz de infectar el proceso de arranque de los sistemas Linux.
«Bootkitty» es un código de prueba de concepto que desarrollaron estudiantes coreanos para un programa de capacitación en ciberseguridad en el que participan. Aunque todavía está algo inacabado, el kit de arranque es completamente funcional e incluso incluye un exploit para uno de los muchos llamados Vulnerabilidades de LogoFAIL en el ecosistema UEFI (Unified Extensible Firmware Interface) descubierto por Binarly Research en noviembre de 2023.
Una nueva prueba de concepto
Los bootkits funcionan a nivel de firmware y se ejecutan antes de que se cargue el sistema operativo, lo que les permite omitir el proceso de inicio seguro para proteger los sistemas del malware durante el inicio. Este tipo de malware puede persistir al reiniciar el sistema, reinstalar el sistema operativo e incluso reemplazar físicamente ciertas partes, como los discos duros.
investigadores de ESET que Bootkitty analizado Después de encontrar una muestra en VirusTotal el mes pasado, lo describieron como el primer kit de arranque UEFI para Linux que encontraron. Esto es importante porque, hasta ahora, los bootkits (los más conocidos incluyen lotonegro Y FinSpy – han sido específicos de Windows.
«[Bootkitty’s] El objetivo principal es desactivar la función de verificación de firma del kernel y precargar dos binarios ELF aún desconocidos a través del proceso de inicialización de Linux (que es el primer proceso ejecutado por el kernel de Linux durante el inicio del sistema), escribieron los investigadores de ESET Martin Smolar y Peter Strycek. .
Binarly, que también analizó Bootkitty, descubrió que el malware contenía un exploit para CVE-2023-40238, una de varias vulnerabilidades de análisis de imágenes LogoFAIL en UEFI reportadas por la compañía el año pasado. El exploit Bootkitty explota el código shell incrustado en archivos de imagen de mapa de bits (BMP) para evitar el arranque seguro y engañar al sistema operativo para que confíe en el malware, dijo Binarly. El proveedor identificó sistemas Linux de varios proveedores como vulnerables al exploit, incluidos los de Lenovo, Fujitsu, HP y Acer.
«Si bien esto parece ser una prueba de concepto más que una amenaza activa, Bootkitty señala un cambio importante a medida que los atacantes expanden sus ataques de bootkit más allá del ecosistema de Windows». binario escribió. «Los gestores de arranque del sistema operativo presentan una gran superficie de ataque que los defensores suelen pasar por alto, y la creciente complejidad sólo empeora las cosas».
UEFI (y antes de eso, el ecosistema BIOS) ha sido un objetivo popular para los atacantes en los últimos años debido a la forma en que el malware que opera a este nivel puede permanecer prácticamente indetectable en los sistemas comprometidos. Pero las preocupaciones sobre la seguridad de UEFI llegaron a un punto crítico con el descubrimiento de BlackLotus, el primer malware que evita el arranque seguro protecciones incluso en sistemas Windows completamente parcheados.
El malware aprovechó dos vulnerabilidades en el proceso de arranque seguro UEFI, CVE-2022-2189, también conocido como Baton Drop, y CVE-2023-24932para instalar prácticamente indetectables e inamovibles. La relativamente fácil disponibilidad del malware y las dificultades de Microsoft para lidiar con él llevaron a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a llamar. para protecciones UEFI mejoradas.
«Según las respuestas recientes a incidentes de malware UEFI como BlackLotus, la comunidad de ciberseguridad y los desarrolladores de UEFI todavía parecen estar en modo de aprendizaje», señaló CISA en ese momento. «En particular, no todos los desarrolladores de UEFI Secure Boot han implementado prácticas de infraestructura de clave pública (PKI) que permitan la distribución de parches».
Kit de inicio funcional
ESET descubrió que Bootkitty contenía una funcionalidad para modificar, en la memoria, las funciones que normalmente verifican la integridad del GRand Unified Bootloader (GRUB), responsable de cargar el kernel de Linux al inicio. Sin embargo, las funciones específicas que Bootkitty intenta modificar en la memoria sólo son compatibles con una cantidad relativamente pequeña de dispositivos Linux, lo que sugiere que el malware es más una prueba de concepto que una amenaza activa. Esta teoría está respaldada por la presencia de varios artefactos no utilizados en el código, incluidas dos funciones para imprimir ilustraciones y texto ASCII en tiempo de ejecución, dijo ESET.
Los estudiantes coreanos que desarrollaron el kit de arranque informaron a ESET después de que el proveedor de seguridad publicara su análisis. ESET citó a los estudiantes diciendo que crearon el malware en un esfuerzo por dar a conocer la posibilidad de que haya kits de arranque disponibles para sistemas Linux. Se suponía que los detalles del malware sólo estarían disponibles como parte de una presentación en una futura conferencia. Sin embargo, algunas muestras del kit de arranque terminaron subiéndose a VirusTotal, señalaron.
