過去 10 年間にわたり、新たな種類の感染症が Windows ユーザーを脅かしてきました。オペレーティング システムがロードされる直前に実行されるファームウェアに感染することにより、ハード ドライブが交換または再フォーマットされた場合でも、これらの UEFI ブートキットは引き続き実行されます。現在、同じタイプのチップ内に存在するマルウェアが、Linux マシンのバックドアを目的として発見されています。
セキュリティ企業ESETの研究者らは水曜日、Bootkitty(未知の攻撃者がLinuxブートキットに付けた名前)が今月初めにVirusTotalにアップロードされたと発表した。 Windows の他の製品と比較すると、Bootkitty はまだ比較的初歩的であり、主要な内部機能に不完全さがあり、Ubuntu 以外のすべての Linux ディストリビューションに感染する手段がありません。このため、同社の研究者らは、新しいブートキットが概念実証リリースである可能性が高いのではないかと疑っている。現在までに、ESET は実際に実際に感染したという証拠を発見していません。
Bootkitty がレンダリングできる ASCII ロゴ。
クレジット: ESET
準備をしてください
それでも、Bootkitty 氏は、以前は Windows マシンのみをターゲットとして発見されていたものと同じ種類の強制終了不可能なブートキットの Linux バージョンを、脅威アクターが積極的に開発している可能性があることを示唆しています。
「概念実証であろうとなかろうと、Bootkitty は UEFI 脅威の状況における興味深い前進を示しており、最新の UEFI ブートキットは Windows 専用の脅威であるという考えを打ち破ります。」と ESET の研究者は述べています。 書きました。 「VirusTotal の現在のバージョンは、現時点では大多数の Linux システムにとって実際の脅威ではありませんが、将来の潜在的な脅威に備える必要性を強調しています。」
ルートキットは、感染するオペレーティング システムの最も深い領域で実行されるマルウェアです。この戦略的な立場を利用して、オペレーティング システム自体からその存在に関する情報を隠します。一方、ブートキットは、ほぼ同じ方法で起動プロセスに感染するマルウェアです。 UEFI のブートキット – の略称 統合された拡張可能なファームウェアインターフェイス– マシンが起動するたびに実行されるチップ常駐ファームウェアに潜んでいます。この種のブートキットは無期限に存続する可能性があり、ウイルス対策ソフトウェアなどのセキュリティ防御が完全にロードされて有効になる前であっても、オペレーティング システムをバックドアするためのステルス手段を提供します。
ブートキットをインストールするハードルは高いです。攻撃者はまず、ロックが解除されている間に物理的にアクセスするか、OS の重大な脆弱性を悪用して、ターゲット マシンの管理制御を取得する必要があります。このような状況では、攻撃者はすでに OS に常駐するマルウェアをインストールする能力を持っています。ただし、ブートキットは、(1) OS が実行する前に実行され、(2) 少なくとも実質的には検出および削除できないため、はるかに強力です。
