Bootkit UEFI pertama yang secara khusus menargetkan sistem Linux telah ditemukan, menandai pergeseran ancaman bootkit yang tersembunyi dan sulit dihapus yang sebelumnya berfokus pada Windows.
Dinamakan ‘Bootkitty,’ malware Linux adalah bukti konsep yang hanya berfungsi pada beberapa versi dan konfigurasi Ubuntu, bukan ancaman lengkap yang digunakan dalam serangan sebenarnya.
Bootkit adalah malware yang dirancang untuk menginfeksi proses boot komputer, memuat sebelum sistem operasi dan memungkinkannya untuk mendapatkan kendali atas sistem pada level yang sangat rendah.
Keuntungan dari praktik ini adalah bootkit dapat menghindari alat keamanan yang berjalan pada level sistem operasi dan memodifikasi komponen sistem atau menyuntikkan kode berbahaya tanpa risiko terdeteksi.
|
Baca juga: Enkripsi Linux |
Peringatan ESET
Peneliti ESET yang menemukan Bootkitty memperingatkan bahwa keberadaannya merupakan evolusi signifikan dalam ruang ancaman bootkit UEFI meskipun implikasi dunia nyata saat ini. Bootkit Linux sedang dibuat
ESET menemukan Bootkitty setelah memeriksa file mencurigakan (bootkit.efi) yang diunggah ke VirusTotal pada bulan November 2024.
Setelah dianalisis, ESET mengonfirmasi bahwa ini adalah kasus pertama bootkit UEFI Linux yang melewati verifikasi tanda tangan kernel dan memuat komponen berbahaya selama proses boot sistem.
Bootkitty mengandalkan sertifikat yang ditandatangani sendiri, sehingga tidak akan dijalankan pada sistem dengan Boot Aman yang diaktifkan dan hanya menargetkan distribusi Ubuntu tertentu.
Selain itu, offset yang dikodekan secara keras dan pencocokan pola byte yang sederhana membuatnya hanya dapat digunakan pada versi GRUB dan kernel tertentu, sehingga tidak cocok untuk penyebaran yang luas.
ESET juga mencatat bahwa malware tersebut berisi banyak fungsi yang tidak digunakan dan menangani kompatibilitas versi kernel dengan buruk, yang sering kali menyebabkan sistem mogok.
Sifat malware yang bermasalah dan fakta bahwa telemetri ESET tidak menunjukkan tanda-tanda Bootkitty pada sistem aktif membuat para peneliti menyimpulkan bahwa malware tersebut masih dalam tahap awal pengembangan.
|
Baca juga: FrontOnLake Malware Khusus Pengincar Linux |
Kemampuan Bootkitty
Selama boot, Bootkitty mengaitkan protokol autentikasi keamanan UEFI (EFI_SECURITY2_ARCH_PROTOCOL dan EFI_SECURITY_ARCH_PROTOCOL) untuk melewati pemeriksaan verifikasi integritas Secure Boot, memastikan bootkit dimuat tanpa mempedulikan kebijakan keamanan.
Selanjutnya, ia mengaitkan berbagai fungsi GRUB seperti ‘start_image’ dan ‘grub_verifiers_open’ untuk memanipulasi pemeriksaan integritas bootloader untuk biner, termasuk kernel Linux, menonaktifkan verifikasi tanda tangan.
Bootkitty kemudian mencegat proses dekompresi kernel Linux dan mengaitkan fungsi ‘module_sig_check’. Ini memaksanya untuk selalu mengembalikan keberhasilan selama pemeriksaan modul kernel, yang memungkinkan malware memuat modul berbahaya.
Ia juga mengganti variabel lingkungan pertama dengan ‘LD_PRELOAD=/opt/injector.so’ sehingga pustaka berbahaya disuntikkan ke dalam proses saat peluncuran sistem.
Seluruh proses ini meninggalkan beberapa artefak, beberapa disengaja dan yang lainnya tidak, jelas ESET, yang merupakan indikasi lain dari kurangnya penyempurnaan Bootkitty.
|
Baca juga: Tren Efisiensi Budget IT Era Linux |
BCDropper
Para peneliti juga mencatat bahwa pengguna yang sama yang mengunggah Bootkitty ke VT juga mengunggah modul kernel yang tidak ditandatangani bernama ‘BCDropper,’ tetapi bukti yang tersedia menghubungkan keduanya dengan lemah.
BCDropper menjatuhkan file ELF bernama ‘BCObserver,’ modul kernel dengan fungsionalitas rootkit yang menyembunyikan file, proses, dan membuka port pada sistem yang terinfeksi.
Penemuan jenis malware ini menggambarkan bagaimana penyerang mengembangkan malware Linux yang sebelumnya diisolasi ke Windows karena perusahaan semakin mengadopsi Linux.
Indikator kompromi (IoC) yang terkait dengan Bootkitty telah dibagikan di repositori GitHub ini.
Sumber berita: