首個(gè)針對(duì)Linux系統(tǒng)的無(wú)法清除的UEFI惡意軟件問(wèn)世安全公司嚴(yán)陣以待

業(yè)界來(lái)源：藍(lán)點(diǎn)網(wǎng) 2024-11-29 14:56:33

正常情況下 Windows PC 上的安全軟件可以在檢測(cè)到惡意軟件后執(zhí)行查殺，為了避免被查殺部分惡意軟件針對(duì) UEFI 展開攻擊，這樣即便在重啟系統(tǒng)后惡意軟件依然可以持久化運(yùn)行。

不過(guò)大多數(shù)針對(duì) UEFI 的惡意軟件都是針對(duì) Windows PC 的，至少在此前還沒有看到針對(duì) Linux 系統(tǒng)的 UEFI 惡意軟件，但這種情況現(xiàn)在發(fā)生了變化。

安全軟件開發(fā)商 ESET 在檢查 2024 年 11 月上傳到 VirusTotal 掃描網(wǎng)站的可疑文件 bootkit.efi 時(shí)發(fā)現(xiàn)了 BootKitty，這個(gè) rootkit 僅針對(duì) Linux UEFI。

經(jīng)過(guò)分析 ESET 確認(rèn)這是 LinuxUEFI 啟動(dòng)工具包首次繞過(guò)內(nèi)核簽名驗(yàn)證并在系統(tǒng)啟動(dòng)過(guò)程中加載惡意組件的案例，不過(guò)開發(fā) BootKitty 的黑客目前也僅在測(cè)試。

實(shí)際測(cè)試安全公司發(fā)現(xiàn) BootKitty 只能在某些特定版本的 Ubuntu 和配置上使用，因此這并不能對(duì)大多數(shù) Linux 系統(tǒng)造成威脅，但后續(xù)黑客肯定也會(huì)繼續(xù)進(jìn)行完善。

當(dāng)然 BootKitty 目前使用的是自簽名，因此如果已經(jīng)啟用了安全啟動(dòng)功能則自簽名無(wú)法通過(guò)驗(yàn)證因此 BootKitty 也無(wú)法運(yùn)行，或許還因?yàn)闇y(cè)試階段開發(fā)不完善，ESET 在測(cè)試過(guò)程中發(fā)現(xiàn)這個(gè) rootkit 經(jīng)常導(dǎo)致 Linux 系統(tǒng)崩潰。

盡管就目前來(lái)說(shuō) BootKitty 不會(huì)在現(xiàn)實(shí)世界中產(chǎn)生影響，但這也說(shuō)明已經(jīng)有黑客瞄準(zhǔn) Linux 系統(tǒng)，對(duì)于安全業(yè)界來(lái)說(shuō)這需要關(guān)注的情況，隨著時(shí)間的推移這種 rootkit 工具可能就會(huì)逐漸成熟，對(duì) Linux 展開廣泛攻擊。