Eerste proof of concept UEFI-bootkit voor Linux-systemen ontdekt

[Captain Kirk]

Onderzoekers van antivirusbedrijf ESET hebben naar eigen zeggen de eerste proof of concept UEFI-bootkit voor Linux ontdekt. Het hoofddoel van de bootkit is het uitschakelen van de signature verification feature van de Linux-kernel en het vooraf laden van twee nog onbekende ELF-binaries via het Linux “init”-proces, het eerste proces dat de Linux-kernel uitvoert tijdens het opstarten van het systeem.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben. Een bootkit kan code op UEFI-niveau uitvoeren en het besturingssysteem aanpassen voordat het is geladen.

De bootkit, met de naam Bootkitty, ondersteunt op het moment alleen een aantal Ubuntu-versies. De malware werd geüpload naar Googles online virusscandienst VirusTotal en kwam zo bij de onderzoekers terecht. Bootkitty is gesigneerd door een zelfondertekend certificaat en kan dus niet worden uitgevoerd op systemen waarop UEFI Secure Boot standaard is ingeschakeld. De bootkit is ontworpen om de Linux-kernel naadloos op te starten, of UEFI Secure Boot nu is ingeschakeld of niet, omdat het in het geheugen de noodzakelijke functies patcht die verantwoordelijk zijn voor integriteitsverificatie, nog voordat de GRUB-bootloader wordt gestart.

"De bootkit is een geavanceerde rootkit die de bootloader kan vervangen en de kernel kan patchen voordat deze wordt uitgevoerd", aldus de onderzoekers. Via de bootkit kunnen aanvallers volledige controle over het getroffen systeem krijgen, omdat het opstartproces wordt overgenomen en het mogelijk is malware uit te voeren nog voordat het besturingssysteem is opgestart. Tijdens de analyse werd een mogelijk gerelateerde niet-ondertekende kernelmodule ontdekt die mogelijk door dezelfde auteur is ontwikkeld. Deze module laadt een andere, voor de onderzoekers nog onbekende kernelmodule.

Op basis van de werking van de bootkit, waaronder het crashen van systemen, denken de onderzoekers dat het hier om een proof of concept gaat. ESET heeft de malware nog niet in het wild aangetroffen. De virusbestrijder merkt op dat Bootkitty op dit moment geen echte bedreiging voor Linux-systemen vormt, maar de ontdekking een interessante ontwikkeling is.

 

bron: https://www.security.nl