บู๊ทคิตตี้
| บู๊ทคิตตี้ | |
|---|---|
| รายละเอียดมัลแวร์ | |
| พิมพ์ | บูทคิท |
| ต้นทาง | เกาหลีใต้ (โครงการทดลอง) |
| รายละเอียดทางเทคนิค | |
| แพลตฟอร์ม | ลินุกซ์ |
BootKittyเป็นมัลแวร์บูตคิทELF ที่เข้ายึดUEFIบน ระบบ Linuxโดยใช้ บูตเตอร์ EFI ที่เป็นอันตราย และเป็นบูตคิทตัวแรกสำหรับระบบ Linux นอกจากนี้ยังถูกติดตามในฐานะตระกูลมัลแวร์ IranuKit อีกด้วย[ 1 ]
ออกแบบ
เมื่อ โปรแกรม ELFของ BootKitty ทำงาน มันจะพยายามปิดใช้งาน คุณสมบัติ การลงนามเคอร์เนล บนระบบ Linux และโหลดตัวโหลดสองตัวล่วงหน้า โดยตัวหนึ่งจะทำงานโดยเคอร์เนล Linuxในระหว่างการบูต โดยใช้ ระบบinitของ Linux [ 2 ]ซึ่งทำให้ BootKitty สามารถคงอยู่ได้แม้หลังจากการรีบูตระบบ การติดตั้งใหม่ และการเปลี่ยนฮาร์ดไดรฟ์[ 3 ] BootKitty ใช้ช่องโหว่LogoFAIL เป็นหลัก เพื่อให้ได้ความคงอยู่ระดับเฟิร์มแวร์[ 4 ]โดยใช้ LogoFAIL BootKitty จะฝังshellcode ลงในไฟล์ภาพ BMPสองไฟล์ในระหว่างการบูตเพื่อหลีกเลี่ยง การป้องกัน Secure Bootโดยการแทรกใบรับรองปลอมลงใน MokList variant [ 5 ]เมื่อตรวจพบในปี 2024 ไฟล์ EFI ที่ใช้เป็นไฟล์ที่ลงนามด้วยตนเอง แม้ว่าโดยปกติแล้วจะไม่สามารถทำงานบนระบบที่มีการป้องกัน UEFI ได้ แต่ก็สามารถหลีกเลี่ยงการป้องกันเหล่านี้ได้ สามารถแทนที่ตัวโหลดบูตและแก้ไขเคอร์เนลก่อนการทำงานได้[ 6 ] BootKitty ออกแบบมาเพื่อโจมตี ระบบ Ubuntuและการแจกจ่าย Linux ที่เกี่ยวข้อง เป็น หลัก [ 7 ]ไม่ใช่ทุกอุปกรณ์ที่จะมีความเสี่ยงต่อช่องโหว่ที่มัลแวร์นี้ใช้ ไฟล์ภาพ BMP และโค้ดแอสเซมเบลอร์ถูกสร้างขึ้นมาโดยเฉพาะสำหรับ อุปกรณ์ Lenovoและสามารถใช้งานได้เฉพาะกับGNU GRUBและเคอร์เนล Linux บางเวอร์ชัน เท่านั้น [ 8 ]
มัลแวร์นี้ได้รับการเปรียบเทียบกับ มัลแวร์ BlackLotusโดยนักวิจัยมัลแวร์และความปลอดภัย[ 9 ]
ประวัติศาสตร์
หลังจากที่ BootKitty เริ่มมีชื่อเสียงในหมู่นักวิจัยด้านความปลอดภัย นักศึกษามหาวิทยาลัยหลายคนจากเกาหลีใต้ได้อ้างความรับผิดชอบในการสร้างมันขึ้นมาโดยบังเอิญเป็นแนวคิดต้นแบบที่เผยแพร่สู่สาธารณะโดยไม่ได้ระบุเจตนาร้าย[ 10 ]