- Bootkitty, UEFI bootkit PoC olarak devreye giriyor Linux, GRUB ve çekirdekteki kancalarla.
- BlackLotus, Güvenli Önyüklemeyi atlatmak ve kalıcılık sağlamak için CVE-2022-21894 açığını kullandı.
- CVE-2024-7344, imzalanmamış UEFI dosyalarının reloader.efi aracılığıyla yüklenmesine izin veriyordu; artık iptal edildi.
- Etkili azaltma: UEFI iptalleri, ESP kontrolü ve onaylanması TPM.
Jardines de Viveros UEFI önyükleme kitleri Sadece birkaç yıl içinde, bir laboratuvar konsepti olmaktan çıkıp savunmacılar ve üreticiler için gerçek bir baş ağrısına dönüştüler. Bu alanda, kavram kanıtı ile operasyonel tehdit arasındaki çizgi belirsizleşti ve şu gibi durumlar: siyahLotus veya yakın zamanda keşfedilen Linux'ta Bootkitty Bunu açıkça kanıtlıyorlar.
Bu makale, şunları bir araya getiriyor ve açıklıyor: açık dil ve teknik detaylar değer kattıklarında, sektördeki araştırmacılar ve şirketler tarafından yayınlanan en alakalı olanlar: 2012'deki ilk PoC'den, güvenlik açıkları gibi güvenlik açıklarını da içeren modern kampanyalara kadar CVE-2024-7344 Güvenli Önyüklemeyi, kaçınma tekniklerini, IoC'leri ve gerçek dünyada işe yarayan tespit ve azaltma önlemlerini atlamanıza olanak tanır.
UEFI bootkit nedir ve neden bu kadar sorunludur?
UEFI önyükleme kiti, çalışan bir implanttır işletim sisteminden önceakışını kontrol etme yeteneği ile çizme, denetimleri devre dışı bırakın ve bileşenleri yüksek ayrıcalıklarla yükleyin. Bu kadar düşük bir seviyede çalışarak, geleneksel antivirüs ve hatta kesin "güvenli başlangıç önlemleri" eğer kusurları veya izin verici yapılandırmaları istismar ederse.
Gerçek dünyada, kalıcı UEFI implantları ve teknikleri zaten gözlemlendi, örneğin: LoJax, MozaikRegresör o Ay sıçraması, bir aktörün nasıl olabileceğini gösteren kilometre taşları aygıt yazılımını işgal etmek ve önyüklemenin kritik aşamalarında ustalaşın, bu da karmaşık hale getirir adli analiz ve iyileştirme.
Savunmak için WindowsMicrosoft birkaç katmanı birbirine bağlıyor: Güvenli Başlatma (UEFI, yükleyiciyi güvenilir sertifikalarla doğrular), Güvenilir Önyükleme (çekirdek diğer bileşenleri doğrular), ELAM (Önyükleme sürücülerini inceleyen Erken Başlatılan Antimalware) ve Ölçülen Önyükleme (TPM ölçümleri ve uzaktan doğrulama). Bunlar yararlı, ancak hatasız engeller değildir. ekosistemin kendi güvenlik açıkları UEFI veya aşırı geniş güven ayarları. Ayrıca, şunlar da mümkündür: kalkan pencereleri Uzun vadeli kalıcılık riskini azaltmak için Credential Guard, BitLocker ve WDAC ile birlikte kullanın.
PoC'lerden Gerçek Hayata: Zaman Çizelgesi ve Önemli Oyuncular
Yolculuk 2012 yılında PoC ile başlıyor Andrea Allievi UEFI'de Windows için, ardından EfiGuard, Boot Backdoor veya UEFI-bootkit gibi projeler geldi. Bu gibi gerçek vakaların belgelenmesi yıllar aldı. ESPekter (ESET, 2021) veya FinSpy önyükleme seti (Kaspersky, 2021) ve 2023'te sahneye çıktı siyahLotus, ilk UEFI önyükleme kiti Tamamen güncellenmiş sistemlerde Güvenli Önyüklemeyi atlayınLaboratuvar ortamlarında bu yaygındır sanal bir makinede kötü amaçlı yazılım test etme Üretken altyapıyı riske atmadan PoC'leri ve tespitleri değerlendirmek.
Şu ana kadar bir şey sabitti: hedef yalnızca Windows bilgisayarlarıBu varsayım, Kasım 2024'te VirusTotal'da VirusTotal adlı bir UEFI uygulamasının ortaya çıkmasıyla paramparça oldu. önyükleme seti.efiAnaliz, yazarları tarafından şu şekilde adlandırılan bir önyükleme setini ortaya çıkardı: Bootkitty, için tasarlandı Linux (Ubuntu)Telemetriye göre, gerçek bir konuşlandırma doğrulanmadı; ve yazarların kendileri, Kore eğitim programıyla bağlantılıydı En İyilerin En İyisi (BoB), bunun bir şey olduğunu açıkladılar kavramın ispatı farkındalık yaratma amacıyla.
Bootkitty ikili dosyası bir kendi kendine imzalanmış sertifikaBu, Güvenli Önyükleme etkinleştirilmediği sürece çalışmayacağı anlamına gelir. saldırganın sertifikalarını yükleyinBununla birlikte, mantığı bir aktörün, bellekte, bileşenlerini nasıl yamayabileceğini göstermektedir. yükleyici (GRUB) ve Linux çekirdeği kontrolleri atlatmak için.
Bootkitty ayrıntılı olarak: eserler, uyumluluk ve neleri değiştirdiği
Önyükleme seti, ASCII sanatını şu adla yazdıran kullanılmayan işlevler içerir: Bootkitty ve olası yazarların bir listesi. Ayrıca her başlangıçta metin dizeleri ve referanslar da gösteriliyor. Kara kedi çıktısında ve ALPHV/BlackCat fidye yazılımıyla ilgisi olmayan ilgili bir çekirdek modülünde; kısmen çünkü Bootkitty C dilinde yazılmıştırALPHV ise Rust'ta geliştiriliyor.
Uyumluluğu sınırlıdır. Hangi işlevlere dokunacağınızı bulmak için şunu kullanın: kodlanmış bayt desenleri (klasik bir önyükleme kiti tekniği), ancak seçilen kalıplar birden fazla çekirdek veya GRUB sürümünü iyi kapsamıyor. Sonuç olarak, implant yalnızca çok sınırlı sayıda yapılandırmada işlevsel oluyor ve dahası, yamalar sabit ofsetler çekirdek sıkıştırmasından sonra: eğer ofsetler sürümle uyuşmuyorsa, rastgele verilerin üzerine yazılabilir ve bu da taahhüt yerine telefonu kapatmak.
Çizme şu şekilde başlıyor: layner Bootkitty'yi çalıştıran ve ilk önce durumunu sorgulayan Güvenli Önyükleme ve iki UEFI kimlik doğrulama protokolüne kancalar yerleştirir: EFI_SECURITY2_ARCH_PROTOCOL.DosyaKimlikDoğrulaması y EFI_SECURITY_ARCH_PROTOCOL.DosyaKimlikDoğrulamaDurumuHer iki durumda da çıktıyı şu şekilde ayarlayın: EFI_BAŞARISI, işletim sistemi öncesi PE görüntü bütünlüğü kontrolünü etkili bir şekilde geçersiz kılıyor.
Bootkitty daha sonra ESP'deki sabit kodlanmış bir yoldan meşru bir GRUB yükler (/EFI/ubuntu/grubx64-real.efi), onu bellekte yamalar ve kancaların temel işlevleri Yürütülmeden önce.
GRUB'a bağlanıp Linux çekirdeğini açma
İmplant fonksiyonu değiştirir başlangıç_görüntüsü modülün resim GRUB'un, önceden yüklenmiş PE ikili dosyalarını (örneğin) başlatmaktan sorumlu olması EFI çekirdek taslağı, vmlinuz.efi/vmlinuz). Çekirdeğin zaten bellekte olmasından yararlanın ve rutine gerçek çekirdek görüntüsünü (muhtemelen) sıkıştıran bir kanca yerleştirin. zstd_decompress_dctx (yapıya bağlı olarak) bu yüzden sıkıştırılmış dosyayı açtıktan sonra, sıcak yama.
Ayrıca işlevi de değiştirir grub_verifiers_open, yüklenen her dosyanın (modüller, çekirdek, yapılandırma vb.) bütünlüğünün doğrulanıp doğrulanmayacağına karar verir. Kanca hemen geri döner ve bu nedenle, herhangi bir imza doğrulamasından kaçınırKendi adına, ayarlama shim_lock_verifier_init Kafa karıştırıcıdır: daha sıkı bir doğrulama bayrağını zorunlu kılar (GRUB_DOĞRULAMA_BAYRAKLARI_TEK_PARÇA), ancak bu fonksiyon diğer kanca tarafından çağrılmıyor bile, bu da Alakasız.
Çekirdek sıkıştırıldıktan sonra, Bootkitty kodu üç bellek değişikliği uygular: sürüm/afiş dizesi "BoB13" metniyle çekirdekten; bunu zorla modül_imza_kontrol() çekirdeğin yüklenmesi için 0 döndür imzasız modüller; ve sürecin ilk ortam değişkenini değiştirir init enjekte etmek LD_PRELOAD=/opt/injector.so /init kullanıcı alanının başlangıcında.
Enjeksiyon yoluyla LD_PRELOAD Bu, ELF paylaşımlı bir nesneye öncelik vermek ve işlevleri geçersiz kılmak için kullanılan klasik bir taktiktir. Burada zincirin kendine özgü bir özelliği vardır (LD_PRELOAD'un yanında "/init" bulunur), bu da zincirin karakterini pekiştiren bir ayrıntıdır. Tamamlanmamış PoC cilalı bir işlemden ziyade. Sözde enjekte edilen ikili dosyalar gözlemlenmedi, ancak daha sonra üçüncü tarafça yazılan bir yazı, bunların yalnızca ek bir aşamayı yükle.
Göstergeler, semptomlar ve basit bir çözüm
Bootkitty mevcutsa, görünür ipuçlarını görmek mümkündür. Komut uname -v değiştirilmiş metinle çekirdek sürümünü görüntüler ve dmesg Banner ayrıca değiştirilmiş olarak da görünebilir. Ayrıca, sürecin PID 1 (init) ile serbest bırakıldı LD_PRELOAD teftiş /proc/1/environ, meşru sistemlerde anormal bir sinyal.
Laboratuvar testlerinde çekirdek ortaya çıkıyor kusurlu Bootkitty ile önyükleme yaptıktan sonra, Güvenli Önyükleme etkinleştirilmiş bilgisayarlarda başka bir deneysel kontrol, bir önyüklemeyi yüklemeyi denemektir. imzasız modül: Sıcak yüklemeye izin veriliyorsa, bu şunu gösterir: modül_imza_kontrolü yama yapıldı.
Önyükleme seti GRUB ikili dosyasını bir aracıyla değiştirerek kurulmuşsa (gözlemlenen davranış), kurtarmanın basit bir yolu, önyükleme setini taşımaktır. Meşru GRUB itibaren /EFI/ubuntu/grubx64-real.efi orijinal rotasına /EFI/ubuntu/grubx64.efi için layner çalıştırın ve önyükleme zinciri devam etsin implant.
BCDropper ve BCObserver: Bağlantılı Parçalar mı Yoksa Sadece Bir Tesadüf mü?
Bootkitty'nin yanında Bootkitty takma adlı imzasız bir çekirdek modülü bulundu BCDamlalık, önyükleme kitiyle ipuçlarını paylaşan: dizeler Kara Kedi/kara kedi meta verilerde ve hata ayıklama yollarında ve bir işlevi dosya gizleme Ön ekleri arasında "enjektör" (değişkenle uyumlu) bulunan LD_PRELOAD (/opt/injector.so'ya işaret ediyor).
BCDropper yaprakları /opt/gözlemci gömülü bir ELF (adı verilen) BCO Gözlemcisi) ve onu başlatır / bin / bashBu oldukça basit bileşen, gdm3 aktiftir ve ardından bir çekirdek modülü yükler /opt/rootkit_loader.ko kullanma son_modülBunu sistem tamamen başlatıldıktan sonra yaptığınızdan emin olun.
Bir ilişkiye dair işaretler olsa da, her iki öğenin de aynı yazardan geldiğini veya birlikte çalışmak üzere tasarlandığını garanti etmek mümkün değildir. Daha da kötüsü, meta verilerinde belirtilen çekirdek sürümü (6.8.0-48-jenerik) desteklenenler arasında bile listelenmiyor bootkit.
İlişkili IoC'ler
Aşağıdaki eserler, tartışılan bulgularla ilişkilendirilmiştir. Bunların değeri esas olarak referencia ve laboratuvar:
| SHA-1 | arşiv | Tespit etme | tanım |
| 35ADF3AED60440DA7B80F3C452047079E54364C1 | önyükleme seti.efi | EFI/Ajan.A | Bootkitty, Linux odaklı UEFI bootkit. |
| BDDF2A7B3152942D3A829E63C03C7427F038B86D | damlalık.ko | Linux/Rootkit.Agent.FM | BCDropper, çekirdek modülü. |
| E8AF4ED17F293665136E17612D856FA62F96702D | gözlemci | Linux/Rootkit.Agent.FM | BCObserver, kullanıcı tarafından çalıştırılabilir. |
BlackLotus ve CVE-2022-21894: Sel kapılarını açan dönüm noktası
BlackLotus, 2022'den beri piyasada olup yaklaşık bir fiyatla satışa sunulmuştur. 5.000 USD (artı yükseltme başına ekstralar) ve teknikler içerir anti-VM/anti-hata ayıklama kaçınması, belirli ülkelerden (Ermenistan, Belarus, Kazakistan, Moldova, Romanya, Rusya ve Ukrayna) kaçınmak için coğrafi sınırlama ve en önemlisi, sömürülmesi CVE-2022-21894 (Baton Bırakma) için Güvenli Önyüklemeyi atla ve tam yama uygulanmış Windows 10/11 makinelerinde sağlam kalıcılık elde edin.
Güvenlik topluluğu tarafından tanımlanan akış, ilk aşamayı içerir korumaların devre dışı bırakılması işletim sisteminin, Güvenli Önyükleme'deki eski güvenlik açığının istismar edilmesi ve bir makine sahibi anahtarının kaydedilmesi Saldırgan tarafından kontrol edilir. Daha fazla yeniden başlatmanın ardından, implant bir çekirdek sürücüsü ve bir kullanıcı modu bileşen türü downloader komuta ve kontrol iletişimini yönetmek ve ek masraflar.
Topluluk, proaktif savunma için operasyonel kurallar yayınladı. Örneğin, SOC Prime, aşağıdakilere dikkat eden Sigma tespitleri sunar: şüpheli donanım yazılımı dosyası oluşturulması System32'de sistem dışı işlemler veya HVCI devre dışı bırakma günlük kaydı yoluyla. MITRE ATT&CK'ye (örneğin, T0857, T1562, T1112) eşlenen bu tür sinyaller, anormal aktivite avı genellikle bot setlerine eşlik eder; ayrıca pratik kılavuzlar da vardır Process Explorer ile kötü amaçlı işlemleri tespit edin Windows ortamlarında.
CVE-2024-7344: "reloader.efi" aracılığıyla güvenilmeyen UEFI ikili dosyaları yükleniyor
2024 yılında özellikle hassas bir güvenlik açığı keşfedildi, CVE-2024-7344sertifika tarafından imzalanan birden fazla kurtarma paketini etkileyen Microsoft Corporation UEFI CA 2011Sorunun kökü bir özel PE yükleyici UEFI uygulamasında yeniden yükleyici.efi, güvenli API'ler yerine LoadImage/StartImageİkili dosya, bir dosyadaki içeriği şifresini çözer ve yürütür pelerin.dat politikasına göre imzaları doğrulamadan Güvenli Başlatma .
Vektör, yazılımın yüklü olduğu bilgisayarlarla sınırlı değildir; yükseltilmiş ayrıcalıklara sahip bir saldırgan, yazılımı dağıtabilir. savunmasız ikili Microsoft'un üçüncü taraf UEFI CA'sına güvenen herhangi bir sistemin ESP'sinde (EFI bölümü) ve bir UEFI imzalanmadı başlatma sırasında. Etkilenen ürünler arasında Howyar, Greenware, Radix, SANFONG, Wasay, CES ve Signal Computer'ın paketleri yer alıyordu. düzeltildi ve iptal edildi 14 Ocak 2025.
Korumayı doğrulamak için en PowerShell yüksek ayrıcalıklara sahip ve Linux (LVFS/dbxtool):
# ¿El sistema confía en la UEFI CA 2011 de Microsoft? (posible exposición)
::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011'
# Revocación instalada (64 bits)
::ToString((Get-SecureBootUEFI dbx).bytes) -replace '-' -match 'cdb7c90d3ab8833d5324f5d8516d41fa990b9ca721fe643fffaef9057d9f9e48'
# Revocación instalada (32 bits)
::ToString((Get-SecureBootUEFI dbx).bytes) -replace '-' -match 'e9e4b5a51f6a5575b9f5bfab1852b0cb2795c66ff4b28135097cba671a5491b9'
# Linux (dbxtool)
dbxtool --list | grep 'cdb7c90d3ab8833d5324f5d8516d41fa990b9ca721fe643fffaef9057d9f9e48'
dbxtool --list | grep 'e9e4b5a51f6a5575b9f5bfab1852b0cb2795c66ff4b28135097cba671a5491b9'
Bu dava, tartışmayı yeniden başlatıyor güven zinciri: Microsoft, tüketici ve kurumsal UEFI bilgisayarlarında yaygın olarak bulunan iki sertifikayı sürdürmektedir (Windows Üretim CA 2011 y UEFI CA 2011 (Üçüncü taraflar için) Mevcut plan, sertifikalara geçiş yapmaktır 2023BlackLotus gibi olayların ve yıllar önce imzalanan güvenlik açığı bulunan önyükleyicilerin yaygınlaşmasının ardından, bilgisayarlarda Güvenli çekirdekli, üçüncü taraf UEFI CA genellikle gelir varsayılan olarak devre dışı.
Güvenli Önyüklemenin pratik korumaları ve özelleştirmesi
Başvurunun ötesinde UEFI iptalleri ve aygıt yazılımını/işletim sistemini güncel tutun (Windows Update ve LVFS), saldırı yüzeyini azaltan önlemler vardır: kontrol etme ESP'ye erişim güvenlik kurallarıyla özelleştirin Güvenli Başlatma (örneğin aşağıdaki yönergeleri izleyerek) güveni gerekli olanla sınırlamak NSA) ve dağıtın TPM ile tasdik önyükleme durumunu referans değerlerine göre uzaktan doğrulamak için.
Windows'ta, kombinasyonu Güvenli Önyükleme + Güvenilir Önyükleme + ELAM + Ölçülen Önyükleme Katmanlı engeller sunar: yükleyici doğrulaması, önyükleme denetleyicilerinin diğerlerinden önce denetlenmesi ve TPM Bu, güvenlik duvarının "temiz" bilgisayarları sapma gösteren bilgisayarlardan ayırmasına olanak tanır. Yönetilen ortamlarda bu, El tiempo de tespit ve kontrol.
Linux'ta iptallere ve ESP kontrolüne ek olarak, aşağıdaki gibi sinyallere dikkat etmek gerekir: LD_PRELOAD süreç içerisinde init, devlet kusurlu çekirdeğin ve modül yükleme olaylarını ilişkilendirin (örn. son_modül) alışılmadık rotalarla (/opt/*.ko) girişimleri tespit etmek için persistencia erken.
Araçlar, Kapsam ve MITRE ATT&CK
ESET'e göre, gelir açısından ilk 20 uç noktada yer alan ve bir UEFI aygıt yazılımı tarayıcısı Ekipman koruma çözümlerinde. Diğer üreticiler UEFI ile ilgili teknolojiler sunsa da, bunların amacı her zaman UEFI ile örtüşmez. doğrudan aygıt yazılımı denetimiUEFI saldırıları, seyrek de olsa, tam kontrol ve ısrar neredeyse kesinlikle, bu katmana yatırım yapmak her şeyi değiştirebilir.
MITRE ATT&CK açısından, gözlemlenen davranışlar birkaç tekniğe uymaktadır: İşletim Sistemi Öncesi Önyükleme: Bootkit (T1542.003), Paylaşılan Modüller/LD_PRELOAD (T1129), gelişimi Malware (T1587.001) ve kullanımı sertifikalar (T1587.002), Artı Rootkit (T1014), Savunmaları Boz (T1562) y Eserleri Gizle (T1564) çekirdek modülleri durumunda saklanıyorlar kendileri.
- T1542.003: ESP'de işletim sistemi öncesi kalıcılık için önyükleme seti.
- T1129: Başlatma sürecinde LD_PRELOAD ile ön yükleme.
- T1014: Rootkit işlevselliğine sahip çekirdek modülleri.
- T1562 / T1564: Kontrolleri devre dışı bırakın ve sistemden gizleyin.
Linux yenilmez değil: Bootkitty davası ve radardaki yeni isimler
Yıllar boyunca popüler anlatı, Windows'un artan görünürlüğünü sözde Windows'a karşı karşılaştırdı. macOS veya Linux'un "geçilmezliği"Gerçeklik daha incelikli: Modelleri ve paylaşımları onları farklı hedefler haline getiriyor, ancak bunlara karşı bağışık değiller. Bootkitty Linux'ta önyükleme kitleri oluşturma bilgisinin bu ekosistem için de mevcut olduğu gösteriliyor, ancak bu özel durumda bir Akademik PoC sınırlı destekle.
Hatta bir fidye yazılımı türünden bile bahsedildi, HibritPetyaUEFI önyükleme kiti yeteneklerini entegre edecek olan . Örnekler yüklendi VirusTotal Polonya'dan 2025'e kadar olan dönemdeki gelişmeler yakın zamanda gerçekleşmiş olsa da bunlara ihtiyatla yaklaşılması gerekiyor. Dikkat bağımsız bir analiz ve sağlam bir atıf yapılana kadar.
Önemli olan, savunmanın tüm önyükleme zincirini kapsaması ve varsayılan güveni en aza indirmesi gerektiğini içselleştirmektir. üçüncü taraf imzaları kullanılmayan EFI bölümünü izleyin ve birleştirin yararlı telemetri (kirli çekirdek, modül olayları, GRUB denetleyicilerindeki değişiklikler veya hassas UEFI değişkenleri) zamanında tespit etmek için.
UEFI riskinin mevcut resmi şunları birleştiriyor: Eğitim amaçlı PoC'ler, hizmet olarak pazarlanan önyükleme kitleri ve zamanında iptal edilmezse, imzalı bileşenlerdeki güvenlik açıkları güvenilmeyen işletim sistemi öncesi yürütmeGüncel donanım yazılımı ve iptal listelerinin tutulması, güven çemberinin daraltılması ve ESP'nin izlenmesi, savunmacıları bu tehdit ailesine karşı çok daha güçlü bir konuma getiren önlemlerdir.
Genel olarak bayt ve teknoloji dünyası hakkında tutkulu bir yazar. Bilgilerimi yazarak paylaşmayı seviyorum ve bu blogda da bunu yapacağım; size gadget'lar, yazılım, donanım, teknolojik trendler ve daha fazlasıyla ilgili en ilginç şeyleri göstereceğim. Amacım dijital dünyada basit ve eğlenceli bir şekilde gezinmenize yardımcı olmaktır.