isarisphotography | shutterstock.com
Forscher des Sicherheitsanbieters ESET hatten Ende November 2024 darüber berichtet, das erste UEFI-Bootkit für Linux-Systeme entdeckt zu haben. Bereits initial berichteten die ESET Researcher darüber, dass die “Bootkitty” getaufte Malware nicht “produktionsreif” ist und eher einem Proof-of-Concept (PoC) gleicht. Diese Einschätzung wurde nun bestätigt: Offenbar hatten südkoreanische Studenten das PoC im Rahmen eines staatlichen Cybersecurity-Forschungswettbewerbs entwickelt und wollten dieses auf einem Event der Öffentlichkeit präsentieren. Einige Samples des Linux-Bootkits wurden allerdings vorab geleakt, wie ESET in einem Update seines Blogeintrags berichtet. Das Ziel der Studenten, die das Linux-Bootkit entwickelt haben sei demnach gewesen, die Security-Community für potenzielle Risiken zu sensibilisieren.
Das dürften sie trotz des Leaks erreicht haben, denn auch wenn der Bootkitty-Prototyp nicht einsatzbereit ist, unterstreicht seine Existenz laut den ESET-Sicherheitsexperten eine wichtige Botschaft: „UEFI-Bootkits sind nicht mehr nur auf Windows-Systeme beschränkt.“
UPDATE: #ESETresearch was contacted by one of the possible authors of the Bootkitty bootkit, claiming the bootkit is a part of project created by cybersecurity students participating in Korea’s Best of the Best (BoB) training program. 1/2
www.welivesecurity.com/en/eset-rese…— ESETResearch (@esetresearch.bsky.social) 2. Dezember 2024 um 20:04
Warum Bootkitty wichtig ist
Das Ziel eines Boot-Level-Rootkits oder Bootkits besteht darin, bereits im Rahmen des Boot-Vorgangs – also bevor das Betriebssystem geladen wird – Schadcode in Systeme einzuschleusen. Das ermöglicht der Malware, ihre Dateien und Prozesse mit Hilfe von Kernel-Privilegien zu verbergen. Die auf dem Betriebssystem installierten Security-Lösungen werden damit ausgehebelt, respektive umgangen.
Ein Weg, das zu bewerkstelligen, besteht darin, ein schadhaftes Modul in die Firmware des Rechners einzuschleusen, auch bekannt als UEFI (oder BIOS auf älteren Systemen). Die Secure-Boot-Funktion von UEFI soll vor Angriffen dieser Art schützen und verifiziert dazu die Signatur von sämtlichem Code, der während des Boot-Vorgangs geladen wird. Das von Bootkitty eingeschleuste Modul ist mit einem selbst generierten Zertifikat signiert. Deshalb kann die Malware Secure Boot nur dann umgehen, wenn der Benutzer aktiv zustimmt und dieses Zertifikat als vertrauenswürdig akzeptiert.
Darüber hinaus weist Bootkitty in seiner PoC-Form weitere Limitationen auf. Beispielsweise funktioniert das Bootkit nur mit einigen, wenigen Ubuntu-Linux-Distributionen und erfordert spezifische Konfigurationen. Allerdings lassen sich diese Einschränkungen beheben. Für Black-Hat-Hacker stellt das erste Linux-UEFI-Bootkit potenziell eine unheilvolle Inspiration dar. (fm)
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
