近年来,UEFI威胁领域特别是UEFI bootkits的发展显著。我们揭露了首个针对Linux系统的UEFI bootkit——Bootkitty。Bootkitty的主要目标是禁用内核的签名验证功能,并通过Linux init进程预加载两个未知的ELF二进制文件。尽管Bootkitty目前仅支持有限数量的系统配置,但其存在表明UEFI bootkits已不再仅限于Windows系统。Bootkitty包含多个迹象表明它可能只是一个概念验证,而非活跃使用的恶意软件。我们发现了一个可能相关的未签名内核模块BCDropper,它部署了一个ELF程序,负责加载另一个在我们分析期间未知的内核模块。Bootkitty的发现打破了现代UEFI bootkits仅针对Windows的旧观念,尽管当前版本并不对大多数Linux系统构成实际威胁,但它强调了为潜在的未来威胁做好准备的必要性。
原文链接:
https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...