Investigadores de ciberseguridad han arrojado luz sobre lo que se ha descrito
como el
primer
Bootkit
de Interfaz de Firmware Extensible Unificada (UEFI) diseñado para sistemas
Linux.
Bautizado
Bootkitty
por sus creadores, que se hacen llamar BlackCat, el Bootkit se considera una
prueba de concepto (PoC) y no hay evidencia de que se haya utilizado en
ataques del mundo real. También conocido como
IranuKit, se subió a la plataforma
VirusTotal
el 5 de noviembre de 2024.
«El objetivo principal del bootkit es deshabilitar la función de
verificación de firma del kernel y precargar dos binarios ELF aún
desconocidos a través del proceso de inicio de Linux (que es el primer
proceso que ejecuta el kernel de Linux durante el inicio del sistema)»,
dijeron los investigadores
de ESET Martin Smolár y Peter Strýček.
El desarrollo es significativo ya que anuncia un cambio en el panorama de las
amenazas cibernéticas en el que
los Bootkits UEFI ya no se limitan solo a los sistemas Windows.
Vale la pena señalar que Bootkitty está firmado por un certificado autofirmado
y, por lo tanto, no se puede ejecutar en sistemas con Arranque seguro UEFI
habilitado a menos que ya se haya instalado un certificado controlado por un
atacante.
Independientemente del estado de arranque seguro UEFI, el Bootkit está
diseñado principalmente para arrancar el núcleo Linux y aplicar un parche, en
memoria, a la respuesta de la función para la verificación de integridad antes
de que se ejecute GNU GRand Unified Bootloader (GRUB).
En concreto, procede a enganchar dos funciones de los protocolos de
autenticación UEFI si el arranque seguro está habilitado de forma que se
eviten las comprobaciones de integridad UEFI. Posteriormente, también aplica
un parche a tres funciones diferentes en el cargador de arranque GRUB legítimo
para eludir otras verificaciones de integridad.
La empresa de ciberseguridad eslovaca dijo que su investigación sobre el
Bootkit también condujo al descubrimiento de un módulo de núcleo no firmado
probablemente relacionado que es capaz de implementar un binario ELF
denominado BCDropper que carga otro módulo de núcleo aún desconocido después
de iniciar el sistema.
El módulo de núcleo, que también tiene como nombre de autor a BlackCat,
implementa otras funcionalidades relacionadas con el rootkit, como ocultar
archivos, procesos y abrir puertos. No hay evidencia que sugiera una conexión
con el grupo de ransomware ALPHV/BlackCat en esta etapa.
«Independientemente de que se trate de una prueba de concepto o no,
Bootkitty marca un interesante avance en el panorama de amenazas de UEFI,
rompiendo la creencia de que los bootkits UEFI modernos son amenazas
exclusivas de Windows», dijeron los investigadores, y agregaron que
«enfatiza la necesidad de estar preparados para posibles amenazas
futuras».
Conexión de Bootkitty y LogoFAIL
En este momento, Bootkitty es un malware UEFI en desarrollo que solo funciona
en versiones específicas de Ubuntu, en lugar de una amenaza generalizada.
En cambio,
LogoFAIL
es un conjunto de fallas en el código de análisis de imágenes de firmware UEFI
utilizadas por varios proveedores de hardware, explotables por imágenes o
logotipos maliciosos plantados en la Partición del Sistema EFI (ESP).
«Cuando se analizan estas imágenes durante el arranque, se puede activar la
vulnerabilidad y se puede ejecutar arbitrariamente una carga útil controlada
por el atacante para secuestrar el flujo de ejecución y eludir las funciones
de seguridad como el Arranque Seguro, incluidos los mecanismos de Arranque
Verificado basados en hardware»,
explicó Binarly anteriormente.
Según el último informe de Binarly, Bootkitty integra shellcode dentro de
archivos BMP (‘logofail.bmp’ y ‘logofail_fake.bmp’) para eludir
las protecciones de arranque seguro. Binarly dice
que Bootkitty podría afectar a cualquier dispositivo que no haya sido
parcheado contra LogoFAIL, pero su shellcode actual espera un código
específico utilizado en módulos de firmware que se encuentran en computadoras
Acer, HP, Fujitsu y Lenovo.
Fuente:
BC
Los comentarios están cerrados.