Especialistas em cibersegurança divulgaram recentemente a detecção de um novo bootkit UEFI, denominado Bootkitty, voltado para sistemas Linux.
Classificado como uma prova de conceito (PoC), o Bootkitty, também referido como IranuKit, foi introduzido na plataforma VirusTotal no dia 5 de novembro de 2024.
Ainda que não tenha sido empregado em ataques reais, sua capacidade representa uma ameaça significativa para a segurança digital.
Outras notícias de interesse incluem a penalização do TikTok por infringir a privacidade de dados infantis e os desafios enfrentados pelas inovações em IA da Meta em decorrência da legislação brasileira.
O objetivo principal do Bootkitty é inabilitar a função de verificação de assinatura do kernel Linux, possibilitando o pré-carregamento de dois arquivos ELF durante o processo init, que ocorre logo no início do boot do sistema.
Mesmo utilizando um certificado autoassinado, o que teoricamente o bloqueia em sistemas com Secure Boot habilitado, o bootkit consegue driblar essa restrição.
Ele modifica funções de verificação de integridade do kernel na memória antes de proceder com o carregamento do gerenciador de boot GRUB.
Ao se deparar com o Secure Boot ativado, o Bootkitty é capaz de contornar as verificações de segurança alterando protocolos de autenticação UEFI e funções presentes no GRUB.
Tal capacidade aponta para fragilidades relevantes em sistemas contemporâneos.
Ainda, um módulo de kernel não assinado, revelado na análise da ESET, incorpora um binário ELF chamado BCDropper, responsável por carregar outro módulo de kernel após o sistema iniciar.
Este módulo é equipado para esconder arquivos e processos, bem como para abrir portas de rede, funcionalidades típicas de rootkits.
Este achado desafia a noção de que os bootkits UEFI ameaçam somente sistemas Windows, evidenciando que plataformas Linux também estão suscetíveis.
O Bootkitty mostra como técnicas avançadas podem ser utilizadas para comprometer sistemas com Secure Boot, demandando novos métodos de segurança para combater essas ameaças nascentes.
Especialistas advertem que essa PoC pode inspirar futuros desenvolvimentos de malware focados no Linux.
Eles aconselham que os administradores de sistemas Linux intensifiquem as configurações de segurança, atualizem o firmware regularmente e adotem estratégias defensivas contra alterações não autorizadas durante a inicialização.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...