サイバーセキュリティ研究者は、Linuxシステムを標的にするために特別に設計された、初のUEFIブートキットである可能性がある「Bootkitty」を発見しました。
これは、これまでWindowsベースの攻撃にのみ焦点が当てられてきた UEFIの脅威ランドスケープにおける大きな変化を示しています。
作成者によって命名されたこのブートキットは、2024年11月にVirusTotalへアップロードされ、完全に稼働するマルウェアというよりは概念実証(PoC)であると考えられています。
ESETによると、Bootkittyはカーネル整合性検証の改変や不明なELFバイナリの事前ロードなど、さまざまな手法を用いてセキュリティ対策を回避します。
特に、特定のUbuntu Linuxシステムを標的としており、多くの構成とは互換性がありません。これは、初期段階の概念であるという見方をさらに裏付けています。
Bootkittyに関する主な詳細
本日公開されたアドバイザリで、ESET はBootkittyの主要な識別情報の一部を詳述しました:
-
このマルウェアは自己署名証明書で署名されており、攻撃者の証明書がインストールされていない限り、UEFI Secure Bootが有効なシステムでは無効となります
-
このブートキットは、署名検証を無効化しセキュリティチェックを回避するために、カーネル関数にパッチを当てます
-
カーネルバージョン向けのパターンがハードコードされており、特定のセットアップでのみ機能します
実行中、BootkittyはGRUBブートローダーの関数やLinuxカーネルの展開(デコンプレッション)プロセスなどの重要コンポーネントもフックします。これらのフックにより、ブートキットはメモリ上のカーネル動作にパッチを適用でき、未署名モジュールの読み込みやシステム設定の上書きを可能にします。
ESETによれば、証拠はBootkittyが活動中の脅威アクターと関連していない可能性を示唆しています。
関連する発見:BCDropperとBCObserver
研究者は、BCDropperという名称の、関連している可能性のある未署名のカーネルモジュールも発見しました。これはBCObserverと呼ばれる単純なELFプログラムを展開します。
このプログラムはシステムを監視し、Linuxのデスクトップ環境が初期化された後に追加のカーネルモジュールを読み込みます。これらのコンポーネント間の関連は推測の域を出ないものの、その機能はBootkittyの改変内容と整合しています。
Linuxを標的とする脅威についてさらに読む:LinuxマルウェアWolfsBaneとFireWood、Gelsemium APTとの関連が判明
緩和策と今後の影響
制約はあるものの、BootkittyはLinux特有のUEFI保護の必要性が高まっていることを浮き彫りにしています。UEFI Secure Bootを有効にし、ファームウェアとオペレーティングシステムを更新し、UEFI失効リストを最新の状態に保つことは、システムを保護するうえで重要な手順です。
「VirusTotalにある現行バージョンは、現時点では大多数のLinuxシステムにとって実際の脅威を意味するものではありませんが、将来起こり得る脅威に備える必要性を強調しています」とESET は述べました。
「このような脅威からLinuxシステムを安全に保つため、UEFI Secure Bootが有効になっていること、システムのファームウェアとOSが最新であること、そしてUEFI失効リストも最新であることを確認してください。」
翻訳元: https://www.infosecurity-magazine.com/news/bootkit-bootkitty-targets-linux/
