令人聞之色變的 UEFI 開機套件(bootkits),會感染在作業系統啟動之前運行的韌體,即使更換或重新格式化硬碟也無法移除,它們仍然可以持續運行。但 10 年來,這個惡意工具始終只針對 Window 電腦下手。如今安全公司 ESET 揭露了史上第一個專門感染 Linux 系統的 Bootkitty 惡意 bootkit,破天荒地讓 Linux 電腦韌體成為 bootkit 常駐的目的地。
史上第一個 Linux 版 UEFI bootkit 在本月稍早之際被上傳至 VirusTotal,但和 Windows 版惡意 bootkit 相比,這個名為 Bootkitty 的惡意套件似乎還處於「概念驗證」階段,不僅關鍵底層功能存在缺陷,而且目前只具備感染 Ubuntu 的能力,換言之,其他所有發行版本的 Linux 使用者完全不會有被這類惡意 bootkit 攻擊的風險。
這使得 ESET 的研究人員懷疑其為一個概念驗證版的惡意 bootkit。截至目前,ESET 並未發現任何 Ubuntu 機台遭到感染的實際案例。
儘管如此,Bootkitty 打破了 UEFI bootkit 只是 Windows 獨有威脅的認知,這再再表明了威脅行為者可能正在積極開發針對所有 Linux 發行版且同樣無法移除的 UEFI bootkit,所以 Linux 使用者實在有必要為這個潛在的未來威脅做好準備。
和運行在所感染作業系統最深層處並具備隱藏自我存在痕跡的 rootkit 相比,bootkit 是屬於採用類似方式感染開機過程的一種韌體常駐型惡意軟體。
進一步而言,UEFI( Unified Extensible Firmware Interface,統一可延伸韌體介面)bootkit 潛伏在每一次機器啟動時所運行的晶片燒錄韌體中。這類 bootkit 可以無限期持續存在,提供一種在作業系統完全載入並啟用安全防護(如防毒軟體)之前建立後門的隱蔽手法。
比起成熟的 Window 版 bootkit,充滿缺陷的 Bootkitty 恐處於概念驗證階段
Bootkit 之所以讓人聞之色變的原因,除了會在作業系統啟動之前運行之外,最讓人頭痛的莫過於它在實際操作中幾乎無法被偵測和移除。
但 ESET 發現的 Bootkitty 樣本卻無法規避名為 UEFI 安全啟動(UEFI Secure Boot)的防禦機制。該機制使用加密簽章確保開機過程中載入的每個軟體都受到電腦製造商的信任。Secure Boot 的設計目的是建立一條信任鏈,防止攻擊者用惡意韌體替換原本的開機韌體。如果啟用了 Secure Boot,而信任鏈中的任何一個韌體環節未被識別,裝置將無法正常開機。
事實上,Bootkitty 本身在關鍵功能上存在許多缺陷和限制,其中一個缺陷在於該 bootkit 修改解壓縮 Linux 核心的方式,最終會導致系統崩潰而非入侵系統。更重要的是,Bootkitty 無法癱瘓 Secure Boot,這大大限制了其攻擊上的影響力及範疇。此外,Bootkitty 還會遺留一系列痕跡,這也讓它相對容易被偵測,進而削弱了原本 bootkit 最引以為傲的隱蔽性優勢。
目前,無論是在 Windows 還是 Linux 裝置上,使用者檢查 UEFI 完整性的方法都很少,如今首度針對 Linux 的 Bootkitty 的出現,勢必會讓這方面更完備的安全防禦機制有所成長。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
