Bootkitty is the first UEFI Bootkit designed for Linux systems
Researchers Discover "Bootkitty" – First UEFI Bootkit Targeting Linux Kernels
- Bootkitty 개요
- ESET 연구팀에 의해 발견된 리눅스 시스템을 겨냥한 최초의 UEFI 부트킷
- 공격자가 커널 서명 검증 기능을 비활성화하고, 두 개의 알려지지 않은 ELF 바이너리를 Linux init 프로세스를 통해 사전 로드할 수 있음
- Bootkitty는 self-signed certificate(자가 서명 인증서)로 서명되어, UEFI Secure Boot가 활성화된 시스템에서는 공격자 인증서가 설치되지 않는 한 실행 불가
- 동작 방식
- UEFI 인증 함수 훅킹을 통해 Secure Boot 메커니즘 우회
- 메모리 내에서 무결성 검증 함수를 패치하여 리눅스 커널의 원활한 부팅 지원
- GRUB 부트 로더의 무결성 검증 함수를 패치하여 추가 보안 검사를 회피
- 커널 디컴프레션 중 하드코딩된 바이트 패턴 및 고정 오프셋 사용으로 제한된 수의 시스템에서 작동
- 발견된 관련 파일
- VirusTotal에 업로드된 bootkit.efi라는 새로운 UEFI 애플리케이션
- Bootkitty와 연관된 BCDropper라는 서명되지 않은 커널 모듈 발견
- BlackCat 레퍼런스와 사용되지 않은 파일 은닉 기능 포함
- Bootkitty가 /opt/injector.so를 사전 로드하는 것과 동일한 동작을 보여줌
- 잠재적 위협
- 현재로서는 Bootkitty가 실제 환경에서 사용된 증거는 없으며 Proof of Concept(개념 증명)으로 보임
- UEFI 부트킷이 Windows에 국한되지 않고 리눅스 생태계로 확장되고 있음을 시사
- 향후 유사한 위협의 발생 가능성을 대비해야 함
- 보안 권고
- UEFI Secure Boot를 활성화하여 부트킷 실행을 방지
- 시스템 펌웨어와 운영체제를 최신 상태로 유지
- UEFI 인증서 취소 목록(revocations list)을 주기적으로 업데이트
- 의심스러운 시스템 동작을 지속적으로 모니터링하여 잠재적 위협 탐지
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 최초의 리눅스용 UEFI 붓키트 '붓키티(Bootkitty)' 발견 (0) | 2024.12.01 |
|---|---|
| 기술적 보안의 효과 극대화 (0) | 2024.12.01 |
| 2025년 사이버 보안 10대 전망: 양자암호, 디지털 신뢰, AI 기반 위협 (1) | 2024.11.30 |
| 마이크로소프트 드래시: 가벼운 이벤트 기반 프로그래밍 툴 (0) | 2024.11.28 |
| AI로 인한 퍼블리시티권 침해 논란과 법제화 추진 (1) | 2024.11.27 |