Un अलीकडील शोधाने सायबरसुरक्षा दृश्याला हादरवून सोडले आहे: संशोधकांनी विशेषतः लिनक्स सिस्टमसाठी डिझाइन केलेले पहिले UEFI बूटकिट ओळखले आहे, ज्याला म्हणतात बुटकीटी त्याच्या निर्मात्यांद्वारे. हा शोध UEFI धोक्यांमध्ये लक्षणीय उत्क्रांती दर्शवितो, ज्याने ऐतिहासिकदृष्ट्या जवळजवळ केवळ विंडोज सिस्टमवर लक्ष केंद्रित केले. तरी मालवेअर संकल्पना टप्प्याच्या पुराव्यात असल्याचे दिसते, त्याचे अस्तित्व भविष्यात संभाव्य अधिक अत्याधुनिक धोक्यांचे दरवाजे उघडते.
अलिकडच्या वर्षांत, UEFI धमक्यांनी लक्षणीय प्रगती पाहिली आहे. 2012 मधील संकल्पनेच्या पहिल्या पुराव्यापासून ते ESPecter आणि BlackLotus सारख्या अगदी अलीकडील प्रकरणांपर्यंत, सुरक्षा समुदायाने या हल्ल्यांच्या जटिलतेत वाढ पाहिली आहे. तथापि, बूटकिट्टी एक महत्त्वाचा बदल दर्शविते, ज्याने लिनक्स सिस्टमकडे लक्ष वेधले, विशेषत: उबंटूच्या काही आवृत्त्यांकडे.
बूटकिट्टी तांत्रिक वैशिष्ट्ये
बुटकीटी त्याच्या प्रगत तांत्रिक क्षमतेसाठी वेगळे आहे. हा मालवेअर मेमरीमधील गंभीर पडताळणी कार्ये पॅच करून UEFI सुरक्षित बूट सुरक्षा यंत्रणांना बायपास करण्यासाठी पद्धती वापरतो. अशा प्रकारे, सिक्युअर बूट सक्षम आहे की नाही याची पर्वा न करता लिनक्स कर्नल लोड करणे व्यवस्थापित करते.
Bootkitty मुख्य ध्येय समावेश कर्नल स्वाक्षरी सत्यापन अक्षम करा आणि प्रीलोड अज्ञात दुर्भावनापूर्ण ELF बायनरी प्रक्रियेद्वारे init लिनक्स चे. तथापि, अनऑप्टिमाइज्ड कोड पॅटर्न आणि निश्चित ऑफसेट्सच्या वापरामुळे, त्याची परिणामकारकता थोड्या प्रमाणात कॉन्फिगरेशन आणि कर्नल आवृत्त्यांपर्यंत मर्यादित आहे आणि ग्रब.
मालवेअरचे वैशिष्ठ्य म्हणजे त्याचे प्रायोगिक स्वरूप: अंतर्गत चाचणी किंवा डेमोसाठी हेतू असलेली तुटलेली कार्ये आहेत. हे, एकत्र त्याच्या ऑपरेट करण्यास असमर्थता बॉक्सच्या बाहेर सुरक्षित बूट सक्षम असलेल्या प्रणालींवर, ते अद्याप विकासाच्या सुरुवातीच्या टप्प्यात असल्याचे सूचित करते.
एक मॉड्यूलर दृष्टीकोन आणि इतर घटकांसह संभाव्य दुवे
त्यांच्या विश्लेषणादरम्यान, संशोधकांकडून ESET त्यांनी BCDropper नावाचे एक स्वाक्षरी न केलेले कर्नल मॉड्यूल देखील ओळखले, संभाव्यतः त्याच बूटकिट्टी लेखकांनी विकसित केले. या मॉड्यूलमध्ये ओपन फाइल्स, प्रक्रिया आणि पोर्ट लपविण्याची क्षमता यासारख्या प्रगत वैशिष्ट्यांचा समावेश आहे. रूटकिटची विशिष्ट वैशिष्ट्ये.
BCDdropper हे BCObserver नावाची ELF बायनरी देखील तैनात करते, जे आणखी एक अज्ञात कर्नल मॉड्यूल लोड करते. जरी हे घटक आणि बूटकिट्टी यांच्यातील थेट संबंधाची पुष्टी झाली नसली तरी, त्यांची नावे आणि वर्तणूक कनेक्शन सूचित करतात.
बूटकिट्टी प्रभाव आणि प्रतिबंधात्मक उपाय
जरी बुटकीटी अद्याप खरा धोका नाही बऱ्याच लिनक्स सिस्टमसाठी, त्याचे अस्तित्व भविष्यातील संभाव्य धोक्यांसाठी तयार राहण्याची गरज अधोरेखित करते. बूटकिट्टीशी संबंधित प्रतिबद्धतेच्या निर्देशकांमध्ये हे समाविष्ट आहे:
- कर्नलमध्ये सुधारित स्ट्रिंग्स: आदेशासह दृश्यमान
uname -v
. - व्हेरिएबलची उपस्थिती
LD_PRELOAD
संग्रहात/proc/1/environ
. - स्वाक्षरी न केलेले कर्नल मॉड्यूल लोड करण्याची क्षमता: अगदी सुरक्षित बूट सक्षम असलेल्या प्रणालींवरही.
- संभाव्य छेडछाड दर्शविणारे कर्नल "दूषित" म्हणून चिन्हांकित केले आहे.
या प्रकारच्या मालवेअरमुळे निर्माण होणारा धोका कमी करण्यासाठी, तज्ञ UEFI सुरक्षित बूट सक्षम ठेवण्याची शिफारस करतात, तसेच फर्मवेअर, ऑपरेटिंग सिस्टम आणि UEFI रद्दीकरण सूची आहेत याची खात्री करतात. अद्यतनित.
UEFI धमक्यांमध्ये एक नमुना बदल
बूटकिट्टी केवळ विंडोजसाठीच UEFI बूटकिट्स आहेत या समजालाच आव्हान देत नाही, पण हायलाइट करते लिनक्स-आधारित प्रणालींकडे सायबर गुन्हेगारांचे वाढते लक्ष. हे अद्याप विकासाच्या टप्प्यात असले तरी, त्याचे स्वरूप या प्रकारच्या वातावरणात सुरक्षा सुधारण्यासाठी एक वेक-अप कॉल आहे.
हे शोध सक्रिय पाळत ठेवणे आणि अंमलबजावणीची गरज अधिक मजबूत करते प्रगत सुरक्षा उपाय संभाव्य धोके कमी करण्यासाठी जे फर्मवेअर आणि बूट प्रक्रिया स्तरावरील असुरक्षा शोषण करू शकतात.