Откриването на прототип на UEFI bootkit, за което писахме, насочен към конкретни настройки на Ubuntu Linux, се задълбочи с разкрития, свързващи създаването му с проект на южнокорейски университет и интегрирането на LogoFAIL експлойт за заобикаляне на проверките на Secure Boot.

Според някои източници  Bootkitty е изследователски проект от академичната програма BoB („Best of the Best“) на Южна Корея, която осигурява обучение на таланти в областта на киберсигурността.

Програмата BoB е част от Южнокорейския изследователски институт по информационни технологии и е свързана с организацията на страната Министерство на търговията, промишлеността и енергетиката.

Буткитът, открит от ESET след качване на образци във VirusTotal, е създаден от изследователи от университета, за да демонстрира реални рискове за сигурността под операционната система. Университетът не може да бъде открит за коментар.

Отделно от това експертите по сигурността на фърмуера в Binarly откриха експлойт за серията уязвимости LogoFAIL, интегрирани в кода на Bootkitty, за заобикаляне на защитите на Secure Boot.

От Binarly заявиха, че bootkit-ът използва CVE-2023-40238 – уязвимост, свързана с първоначалните открития на Binarly за LogoFAIL от декември миналата година.

„Като използват недостатъци в обработката на изображения по време на зареждането на системата, нападателите са разработили сложен механизъм за заобикаляне на защитата Secure Boot“, обясниха от компанията в Лос Анджелис.

По-конкретно Bootkitty използва манипулиран BMP файл с име logofail.bmp, за да изпълни зловреден шелкод и да инжектира фалшиви сертификати в променливите на UEFI, като ефективно гарантира, че зловредният софтуер е доверен по време на процеса на зареждане.

Binarly документира експлойта, за да покаже как подправеният BMP файл (logofail.bmp) е създаден, за да вгради зловреден шел код, който е насочен към рутинните процедури за анализ на изображения на UEFI фърмуера.

Компанията заяви, че експлойтът манипулира променливата MokList, заобикаляйки процеса на проверка на Secure Boot и позволявайки на злонамерени буутлоудъри да работят без проверка.

Уязвимите устройства включват модели на Lenovo, Acer, HP и Fujitsu, като има данни, че прототипът на зловредния софтуер е пригоден за конкретни хардуерни конфигурации.
Експерименталният UEFI bootkit е доказателство, че нападателите могат лесно да разширят bootkit атаките извън операционната система Windows, като деактивират проверката на подписа на ядрото за Linux ядрото и неговите модули.

Забелязан за първи път, когато неизвестно досега UEFI приложение, „bootkit.efi“, е качено във VirusTotal през ноември 2024 г., ESET заяви, че многобройните артефакти, включително неизползвани функции и твърдо кодирани отмествания, предполагат, че Bootkitty все още е в процес на разработка и не е активна заплаха.

През годините в дивата природа са се появявали UEFI bootkits, насочени предимно към екосистемата на Windows. Сред тях са ESPecter, FinSpy, а съвсем наскоро и BlackLotus – първият UEFI bootkit, способен да заобикаля UEFI Secure Boot на актуални системи.

През юли миналата година изходният код на BlackLotus беше споделен публично в GitHub, макар и с няколко модификации в сравнение с оригиналния зловреден софтуер. Разработен специално за Windows, bootkit-ът се появи в хакерски форуми през октомври миналата година, като беше рекламиран с възможности на ниво APT, като например заобикаляне на защитеното зареждане и контрола на потребителския достъп (UAC) и възможност за деактивиране на приложенията за сигурност и защитните механизми в системите на жертвите.

Източник: По материали от Интернет

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
24 януари 2025

Axoflow набира 7 млн. долара за платформа за ку...

Платформата за куриране на данни за сигурността Axoflow обяви в сря...
Бъдете социални
Още по темата
24/01/2025

Инженер по ИИ е сред най-бъ...

Инженер по изкуствен интелект (ИИ) е...
24/01/2025

Шефът на НАТО бърза с внедр...

Световният икономически форум предложи поглед към...
24/01/2025

Потребителите на Homebrew m...

Новооткрита зловредна рекламна кампания, насочена към...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!