“Bootkitty”原型 UEFI 启动套件是韩国大学项目

摘要:随着更多消息披露,针对特定 Ubuntu Linux 设置的原型 UEFI 启动套件的发现愈发深入,该启动套件的创建与韩国大学项目有关,并且集成了 LogoFAIL 漏洞利用以绕过安全启动验证。

随着更多消息披露,针对特定 Ubuntu Linux 设置的原型 UEFI 启动套件的发现愈发深入,该启动套件的创建与韩国大学项目有关,并且集成了 LogoFAIL 漏洞利用以绕过安全启动验证。

bootkitty是韩国BoB(“Best of the Best”)学术计划的一个研究项目,旨在为网络安全人才提供培训。

BoB项目是韩国信息技术研究院的一部分,隶属于韩国贸易、工业和能源部组织。

ESET 在样本上传到 VirusTotal 后发现了这个 bootkit,它是由该大学的研究人员创建的,目的是展示操作系统下的真实安全风险。记者无法联系该大学发表评论。

另外,Binarly 的固件安全专家发现了Bootkitty 代码中集成的 LogoFAIL 系列漏洞,可绕过安全启动保护。

Binarly 表示,该 bootkit 利用了 CVE-2023-40238 漏洞,该漏洞与Binarly去年 12 月 最初发现的 LogoFAIL漏洞有关。

Binarly 解释说:“通过利用系统启动过程中图像解析的缺陷,攻击者开发出了一种绕过安全启动保护的复杂机制。”

具体来说,Bootkitty 使用名为logofail.bmp的操纵 BMP 文件来执行恶意 shellcode 并将恶意证书注入 UEFI 变量,从而有效地确保恶意软件在启动过程中受到信任。

Binarly 记录了该漏洞,展示了如何设计一个被篡改的 BMP 文件 (logofail.bmp) 来嵌入针对 UEFI 固件的图像解析例程的恶意 shellcode。

该公司表示,该漏洞操纵了 MokList 变量,绕过了安全启动的验证过程,并允许恶意引导加载程序不受检查地运行。

易受攻击的设备包括联想、宏碁、惠普和富士通的机型,有证据表明恶意软件原型是针对特定硬件配置量身定制的。

实验性的 UEFI bootkit 证明攻击者可以通过禁用 Linux 内核及其模块的内核签名验证,轻松将 bootkit 攻击扩展到 Windows 操作系统之外。

ESET 于 2024 年 11 月将一个以前未知的 UEFI 应用程序“bootkit.efi”上传到 VirusTotal 时首次发现了该威胁,ESET 表示,包括未使用的功能和硬编码偏移量在内的大量痕迹表明 Bootkitty 仍在开发中,并不构成活跃威胁。

多年来,UEFI 启动工具包已广泛出现,主要针对 Windows 生态系统。其中包括ESPecter、FinSpy以及最近的BlackLotus,这是第一个能够绕过最新系统上的 UEFI 安全启动的 UEFI 启动工具包。

去年 7 月,BlackLotus 的源代码在 GitHub 上公开分享,尽管与原始恶意软件相比有几处修改。该 bootkit 专为 Windows 设计,于去年 10 月出现在黑客论坛上,宣传具有 APT 级功能,例如安全启动和用户访问控制 (UAC) 绕过,以及禁用受害系统上的安全应用程序和防御机制的能力。

新闻链接:

来源:会杀毒的单反狗

相关推荐