Alertas de Seguridad

ESET Research descubre el primer bootkit UEFI

Para Linux

[29/11/2024] Una investigación de ESET ha descubierto el primer bootkit UEFI diseñado para sistemas Linux, llamado Bootkitty por sus creadores. ESET cree que este bootkit es probablemente una prueba de concepto inicial y, según la telemetría de ESET, no se ha implementado en la naturaleza. Sin embargo, según lo señalado por ESET en el comunicado de prensa, es la primera evidencia de que los bootkits UEFI ya no se limitan solo a los sistemas Windows. El objetivo principal del bootkit es desactivar la función de verificación de firmas del kernel y precargar dos binarios ELF aún desconocidos a través del proceso "init" de Linux (que es el primer proceso ejecutado por el kernel de Linux durante el inicio del sistema).

"La aplicación UEFI previamente desconocida, llamada bootkit.efi, se cargó en VirusTotal. Bootkitty está firmado por un certificado autofirmado, por lo que no es capaz de ejecutarse en sistemas con UEFI Secure Boot habilitado de forma predeterminada. Sin embargo, Bootkitty está diseñado para arrancar el kernel de Linux sin problemas, ya sea que UEFI Secure Boot esté habilitado o no, ya que parchea, en la memoria, las funciones necesarias responsables de la verificación de la integridad, comentó el investigador de ESET, Martin Smolár, quien analizó Bootkitty.

El investigador comentó bootkit es un rootkit avanzado que es capaz de reemplazar el gestor de arranque y de parchear el kernel antes de su ejecución. Bootkitty permite al atacante tomar el control total de la máquina afectada, ya que coopta el proceso de arranque de la máquina y ejecuta malware antes de que el sistema operativo se haya iniciado.

Durante el análisis, ESET descubrió un módulo de kernel sin firmar posiblemente relacionado que ESET llamó BCDropper, con signos que sugieren que podría haber sido desarrollado por el mismo autor (s) que Bootkitty. Despliega un binario ELF responsable de cargar otro módulo del kernel desconocido en el momento del análisis.

"Bootkitty contiene muchos artefactos, lo que sugiere que esto se parece más a una prueba de concepto que al trabajo de un actor de amenazas. A pesar de que la versión actual de VirusTotal no representa, por el momento, una amenaza real para la mayoría de los sistemas Linux, ya que puede afectar solo a unas pocas versiones de Ubuntu, enfatiza la necesidad de estar preparados para posibles amenazas futuras", anotó Smolár. "Para mantener sus sistemas Linux a salvo de tales amenazas, asegúrese de que el arranque seguro UEFI esté habilitado, que el firmware de su sistema, el software de seguridad y el sistema operativo estén actualizados, al igual que su lista de revocaciones de UEFI", añadió.

Después de arrancar un sistema con Bootkitty en el entorno de pruebas de ESET, los investigadores notaron que el kernel estaba marcado como contaminado (se puede usar un comando para verificar el valor contaminado), lo que no era el caso cuando el bootkit estaba ausente. "Otra forma de saber si el kit de arranque está presente en el sistema con el arranque seguro UEFI habilitado es intentar cargar un módulo de kernel ficticio sin firmar durante el tiempo de ejecución. Si está presente, se cargará el módulo; Si no es así, el kernel se niega a cargarlo. Un remedio simple para deshacerse del kit de arranque, cuando el kit de arranque se despliega como "/EFI/ubuntu/grubx64.efi", es mover el archivo legítimo "/EFI/ubuntu/grubx64-real.efi" a su ubicación original, que es "/EFI/ubuntu/grubx64.efi", explicó el investigador.

Smolár comentó que, en los últimos años, el panorama de amenazas UEFI, en particular el de los bootkits UEFI, ha evolucionado significativamente. "Todo comenzó con la primera prueba de concepto (PoC) de bootkit UEFI descrita por Andrea Allievi en el 2012, que sirvió como demostración de la implementación de bootkits en sistemas Windows modernos basados en UEFI, y fue seguida por muchas otras PoC (EfiGuard, Boot Backdoor, UEFI-bootkit). Pasaron varios años hasta que se descubrieron los dos primeros bootkits UEFI reales en la naturaleza (uno de ellos fue ESPecter en el 2021 por ESET), y pasaron dos años más hasta que apareció el infame BlackLotus, el primer bootkit UEFI capaz de eludir el arranque seguro UEFI en sistemas actualizados (en el 2023 descubierto por ESET). Un denominador común entre estos bootkits conocidos públicamente era su objetivo exclusivo de los sistemas Windows.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »