Un Daah-furkii dhawaa ayaa ruxay goobta amniga interneedka: Cilmi-baarayaashu waxay aqoonsadeen bootkit-kii ugu horreeyay ee UEFI si gaar ah loogu talagalay nidaamyada Linux, oo loo yaqaan Bootkitty by abuurayaashiisa. Helitaankan ayaa calaamad u ah horumar la taaban karo oo ku yimid hanjabaadaha UEFI, kaas oo taariikh ahaan si gaar ah diiradda u saaray nidaamyada Windows. Inkastoo Malware-ku wuxuu u muuqdaa inuu ku jiro caddaynta marxaladda fikradda, jiritaankeedu waxa uu albaabka u furayaa khataro hor leh oo suurtogal ah mustaqbalka.
Sanadihii la soo dhaafay, Hanjabaadaha UEFI waxay arkeen horumar la taaban karo. Laga soo bilaabo caddaymihii ugu horreeyay ee fikradda ee 2012 ilaa kiiskii ugu dambeeyay sida ESPecter iyo BlackLotus, bulshada amnigu waxay arkeen kobac xagga kakanaanta weerarradan. Si kastaba ha noqotee, Bootkitty waxay u taagan tahay isbeddel muhiim ah, u wareejinta dareenka nidaamyada Linux, gaar ahaan noocyada Ubuntu.
Tilmaamaha Farsamada Bootkitty
Bootkitty waxay u taagan tahay awoodeeda farsamo ee horumarsan. Malware Tani waxay isticmaashaa habab si ay uga gudubto UEFI Secure Boot hababka amniga iyada oo hagaajinaysa hawlaha xaqiijinta xusuusta ee muhiimka ah. Sidan, waxay maamushaa in ay ku shubto kernel Linux iyada oo aan loo eegin in Secure Boot karti loo leeyahay iyo in kale.
Hadafka ugu weyn ee Bootkitty waxaa ka mid ah dami xaqiijinta saxeexa kernel iyo horudhac binaries ELF xaasidnimo aan la garanayn Iyadoo loo marayo habka init ee Linux. Si kastaba ha noqotee, iyadoo ay ugu wacan tahay adeegsiga qaababka koodhka aan la hagaajinin iyo ka-baxyo go'an, waxtarkeedu wuxuu ku xaddidan yahay tiro yar oo ah qaabeynta iyo noocyada kernel iyo GRUB.
Gaar ahaan malware-ka ayaa ah dabeecadiisa tijaabada ah: waxay ka kooban tahay hawlo jaban oo u muuqda in loogu talagalay in lagu tijaabiyo gudaha ama bandhigyada. Tani, oo ay weheliso awood la'aan in uu shaqeeyo Nidaamyada leh Secure Boot oo ka baxsan sanduuqa, waxay soo jeedinayaan inay weli ku jirto marxaladaha hore ee horumarka.
Hab habaysan iyo isku xidhka suurtogalka ah ee qaybaha kale
Inta lagu jiro falanqayntooda, cilmi-baarayaasha ka ESET Waxay sidoo kale aqoonsadeen cutubka kernel-ka ah ee aan saxeexin ee loo yaqaan BCDropper, oo ay suurtogal tahay inay horumariyaan isla qoraayaasha Bootkitty. Qaybtan waxaa ku jira astaamo horumarsan sida kartida lagu qariyo faylasha furan, hababka iyo dekedaha, Astaamaha caadiga ah ee rootkit-ka.
BCDropper Waxa kale oo ay daad guraysaa ELF binary oo loo yaqaan BCObserver, kaas oo ku raran cutub kale oo aan wali la aqoonsan. In kasta oo xidhiidhka tooska ah ee ka dhexeeya qaybahan iyo Bootkitty aan la xaqiijin, magacyadooda iyo hab-dhaqankooda ayaa muujinaya xidhiidh.
Saamaynta Bootkitty iyo Tallaabooyinka Ka Hortagga ah
Inkastoo Bootkitty weli ma keenin khatar dhab ah Inta badan nidaamyada Linux, jiritaankeedu wuxuu hoosta ka xariiqayaa baahida loo qabo in loo diyaargaroobo khataraha mustaqbalka. Tilmaamayaasha ka-qaybgalka ee Bootkitty waxaa ka mid ah:
- Xadhkaha wax laga beddelay kernel-ka: la arki karo amarka
uname -v
. - Joogitaanka doorsoomayaasha
LD_PRELOAD
kaydka/proc/1/environ
. - Awoodda lagu rari karo cutubyada kernel-ka ee aan saxeexin: xitaa nidaamyada leh Secure Boot karti u leh.
- Kernel ayaa lagu calaamadeeyay "wasakhaysan," taasoo muujinaysa faragalin suurtagal ah.
Si loo yareeyo khatarta uu leeyahay nooca malware-ka, khubaradu waxay ku talinayaan in UEFI Secure Boot la shaqeeyo, iyo sidoo kale in la hubiyo in firmware-ka, nidaamka hawlgalka, iyo liiska ka noqoshada UEFI ay yihiin cusbooneysiiyay.
Isbeddelka qaabaysan ee hanjabaadaha UEFI
Bootkitty kaliya kuma koobna aragtida ah in bootkits UEFI ay gaar u yihiin Windows, laakiin sidoo kale waxay muujinaysaa kordhinta dareenka dambiilayaasha internetka ee ku wajahan nidaamyada ku saleysan Linux. Inkasta oo ay weli ku jirto marxalad horumarineed, muuqaalkeedu waa baraarujin si loo hagaajiyo amniga deegaanka noocan ah.
Helitaankani waxa uu xoojinayaa baahida loo qabo dabagalka firfircoon iyo hirgelinta Tallaabooyin amni oo horumarsan si loo yareeyo khataraha iman kara ee ka faa'iidaysan kara dayacanka firmware-ka iyo nidaamka nidaamka boot.