اكتشاف Bootkitty: أول مجموعة تمهيد UEFI مصممة لنظام التشغيل Linux

  • أصبح Bootkitty أول مجموعة تمهيد UEFI مصممة لأنظمة Linux.
  • اكتشفه باحثو ESET، وهو يستهدف بعض إصدارات Ubuntu وله منهج تجريبي.
  • تعمل البرامج الضارة على تعطيل التحقق من توقيع kernel وتستخدم أساليب متقدمة لتجاوز آليات الأمان.
  • تسلط شركة ESET الضوء على أهمية تعزيز الأمن السيبراني في Linux في مواجهة التطورات المستقبلية المحتملة.

بوتكيتي

Un لقد هز الاكتشاف الأخير مشهد الأمن السيبراني: حدد الباحثون أول مجموعة تمهيد UEFI مصممة خصيصًا لأنظمة Linux، تسمى بوتكيتي من قبل المبدعين لها. يمثل هذا الاكتشاف تطورًا كبيرًا في تهديدات UEFI، والتي ركزت تاريخيًا بشكل حصري تقريبًا على أنظمة Windows. بالرغم من يبدو أن البرامج الضارة في مرحلة إثبات المفهومفإن وجودها يفتح الباب أمام تهديدات محتملة أكثر تعقيدًا في المستقبل.

في السنوات الأخيرة، شهدت تهديدات UEFI تقدمًا ملحوظًا. بدءًا من البراهين الأولى للمفهوم في عام 2012 وحتى الحالات الأحدث مثل ESpecter وBlackLotus، شهد مجتمع الأمان نموًا في تعقيد هذه الهجمات. ومع ذلك، يمثل Bootkitty تغييرًا مهمًا، حيث يحول الاهتمام إلى أنظمة Linux، وتحديدًا بعض إصدارات Ubuntu.

الميزات التقنية لـ Bootkitty

بوتكيتي تتميز بقدراتها التقنية المتقدمة. تستخدم هذه البرامج الضارة طرقًا لتجاوز آليات أمان UEFI Secure Boot عن طريق تصحيح وظائف التحقق المهمة في الذاكرة. بهذه الطريقة، يتمكن من تحميل Linux kernel بغض النظر عما إذا كان Secure Boot ممكّنًا أم لا.

الهدف الرئيسي من Bootkitty يشمل تعطيل التحقق من توقيع النواة والتحميل المسبق ثنائيات ELF الخبيثة غير المعروفة من خلال هذه العملية الحرف الأول من لينكس. ومع ذلك، نظرًا لاستخدام أنماط التعليمات البرمجية غير المحسنة والإزاحات الثابتة، فإن فعاليتها تقتصر على عدد صغير من التكوينات وإصدارات kernel و GRUB.

خصوصية البرامج الضارة هي طبيعتها التجريبية: يحتوي على وظائف معطلة يبدو أنها مخصصة للاختبار الداخلي أو العروض التوضيحية. هذا ومعه عدم القدرة على العمل على الأنظمة التي تم تمكين Secure Boot بها خارج الصندوق، تشير إلى أنها لا تزال في المراحل الأولى من التطوير.

نهج معياري وروابط محتملة مع المكونات الأخرى

وخلال تحليلهم، باحثون من ESET كما حددوا أيضًا وحدة نواة غير موقعة تسمى BCDropper، والتي من المحتمل أن يكون قد تم تطويرها بواسطة نفس مؤلفي Bootkitty. تتضمن هذه الوحدة ميزات متقدمة مثل القدرة على إخفاء الملفات والعمليات والمنافذ المفتوحة، الخصائص النموذجية للجذور الخفية.

بي سي دروبر كما أنه ينشر أيضًا ملف ثنائي ELF يسمى BCObserver، والذي يقوم بتحميل وحدة kernel أخرى غير محددة. على الرغم من عدم تأكيد وجود علاقة مباشرة بين هذه المكونات وBootkitty، إلا أن أسمائها وسلوكياتها تشير إلى وجود صلة.

تأثير Bootkitty والتدابير الوقائية

على الرغم من Bootkitty لا تشكل حتى الآن تهديدا حقيقيا بالنسبة لمعظم أنظمة Linux، يؤكد وجودها على الحاجة إلى الاستعداد للتهديدات المستقبلية المحتملة. تتضمن مؤشرات المشاركة المرتبطة بـ Bootkitty ما يلي:

  • السلاسل المعدلة في النواة: مرئية مع الأمر uname -v.
  • وجود المتغير LD_PRELOAD في الأرشيف /proc/1/environ.
  • القدرة على تحميل وحدات النواة غير الموقعة: حتى على الأنظمة التي تم تمكين Secure Boot فيها.
  • تم وضع علامة "ملوث" على النواة، مما يشير إلى احتمال التلاعب.

للتخفيف من المخاطر التي يشكلها هذا النوع من البرامج الضارة، يوصي الخبراء بالحفاظ على تمكين UEFI Secure Boot، بالإضافة إلى التأكد من أن البرامج الثابتة ونظام التشغيل وقائمة إبطال UEFI محدث.

تحول نموذجي في تهديدات UEFI

لا يتحدى Bootkitty التصور القائل بأن مجموعات تمهيد UEFI حصرية لنظام التشغيل Windows فحسب, ولكن يسلط الضوء أيضا على زيادة اهتمام مجرمي الإنترنت بالأنظمة المستندة إلى Linux. وعلى الرغم من أنه لا يزال في مرحلة التطوير، إلا أن مظهره يعد بمثابة دعوة للاستيقاظ لتحسين الأمان في هذا النوع من البيئات.

وتعزز هذه النتيجة الحاجة إلى مراقبة استباقية وتنفيذها تدابير أمنية متقدمة للتخفيف من التهديدات المحتملة التي قد تستغل الثغرات الأمنية على مستوى البرامج الثابتة وعملية التمهيد.


اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.