Главная страница » IOC
0
3 месяца
IOC

Bootkitty UEFI bootkit IOCs

security

Исследователи ESET сообщили о своем анализе первого в мире буткита UEFI, предназначенного для операционных систем Linux. Этот буткит называется Bootkitty. Ранее известные буткиты UEFI были нацелены исключительно на системы Windows, поэтому появление UEFI-буткита для Linux является впечатляющим событием.

Bootkitty UEFI bootkit

Главной целью Bootkitty является отключение функции проверки подписи ядра и загрузка двух неизвестных ELF-файлов через процесс инициализации Linux. Он исправляет необходимые функции в памяти, отвечающие за проверку целостности перед выполнением GRUB, чтобы обеспечить беспрепятственную загрузку ядра Linux. В ходе анализа был обнаружен возможно связанный модуль ядра, названный BCDropper, который загружает ELF-программу для загрузки другого модуля ядра.

Bootkitty был обнаружен в ноябре 2024 года на платформе VirusTotal как неизвестное UEFI-приложение под названием bootkit.efi. Анализ показал, что это UEFI-буткит, который нацелен на несколько версий Ubuntu. Он подписан самоподписанным сертификатом, поэтому не может быть использован на системах с включенным UEFI Secure Boot, если злоумышленник не установил свои сертификаты.

По артефактам, найденным в Bootkitty, можно сделать предположение, что это не активно используемое вредоносное ПО, а скорее пробный вариант. Буткит содержит ASCII-рисунок, представляющий возможное название - Bootkitty. Также в нем есть список возможных авторов буткита, одно из которых можно найти на GitHub. Однако не существует публичных репозиториев, связанных с проектом UEFI bootkit, поэтому подлинность этих имен не может быть подтверждена.

Bootkitty на данный момент работает только на ограниченном числе систем из-за использования жестко закодированных шаблонов байтов для поиска модифицируемых функций в памяти. Это ограничение сильно влияет на его функциональность и возможность атаковать различные версии ядра или GRUB.

В целом, Bootkitty является первым UEFI-буткитом нацеленным на Linux и, хотя его возможности ограничены, его существование подчеркивает растущую угрозу буткитов UEFI для различных операционных систем.

Indicators of Compromise

MD5

  • 23943ba4aeee2cd9795e072c93b18d63
  • 43e0656340c4c6ccf7f22f3ddc75ded2
  • d734c6a86fab0c66a899d3412347bc99

SHA1

  • 35adf3aed60440da7b80f3c452047079e54364c1
  • bddf2a7b3152942d3a829e63c03c7427f038b86d
  • e8af4ed17f293665136e17612d856fa62f96702d

SHA256

  • 0a54fe932ebc3e4fd5aeaf094ac163c9e92d1efa7ab66af3d1cbd2cb9ee4c294
  • 9ee580a9be05b44a9b5102701c8cf45417c3a96617dbf73c40ac5ac4773dfe97
  • f1f84819bdf395d42c36adb36ded0e7de338e2036e174716b5de71abc56f5d40
Комментарии: 0
Похожие записи
0
4 месяца
IOC

Gelsemium APT IOCs

security
Исследователи ESET обнаружили сложный набор бэкдоров и вредоносных программ для Linux, используемых APT-группой Gelsemium - злоумышленником, предположительно связанным с Китаем.
0
4 месяца
IOC

RedLine Stealer IOCs - Part 25

Spyware
Исследователи ESET подробно описали работу RedLine Stealer, вредоносной программы-инфопохитителя, впервые обнаруженной в 2020 году компанией Proofpoint и функционирующей по модели «вредоносное ПО как услуга» (MaaS).
0
4 месяца
IOC

RedLine Stealer IOCs - Part 24

Spyware
Исследователи ESET, в процессе работы с правоохранительными органами, изучили внутренние модули вредоносного ПО RedLine Stealer. Удаление RedLine Stealer и его клона META Stealer было результатом операции