На прошлой неделе компания ESET сообщила об обнаружении буткита, конечной целью которого является атака систем на базе Linux. Задача любого буткита — выполнить вредоносный код до загрузки ядра системы. Это в теории обеспечивает широкие возможности контроля над атакуемым компьютером и затрудняет обнаружение вредоносного ПО. Закрепление буткита в прошивке UEFI также позволяет пережить полную переустановку ОС или замену жесткого диска.
На практике реализовать подобную атаку достаточно сложно: известны лишь три примера реальных буткитов, закрепляющихся в UEFI. Из них только самый свежий, известный как BlackLotus, способен обойти систему Secure Boot, направленную как раз на блокировку выполнения «неавторизованного» кода на начальном этапе загрузки. Как и следовало ожидать, целью всех реальных буткитов является атака на ОС Windows. Именно поэтому Linux-буткит мог бы представлять особый интерес. Впрочем, в данном случае, как позднее выяснилось, речь не идет о реальном вредоносном ПО — это был учебный Proof of Concept, разработанный в рамках учебной программы по кибербезопасности в Южной Корее.
Изначально об «учебной» природе буткита не было известно. Специалисты ESET обнаружили Bootkitty (так назвали его создатели) после того, как он был загружен на сервис VirusTotal. Впрочем, исследователями отмечается его «почти» полная работоспособность. Это «почти» относится как раз к части обхода механизма Secure Boot: на системах, где этот механизм безопасности работает, буткит не запустится.
Зато работает механизм атаки на ядро Linux: модифицируется загрузчик GRUB, отключается проверка подписи ядра, а при загрузке системы обеспечивается выполнение двух исполняемых файлов. Впрочем, и здесь есть некоторые ограничения: разработчики Bootkitty не стали учитывать все разнообразие конфигураций дистрибутивов на базе Linux, ограничившись намертво вшитой последовательностью действий для собственной тестовой ОС. В частности, ядро Linux модифицируется после декомпрессии и до запуска, и эти патчи работают только для конкретной его версии.
На случай, если кто-то все же попытается включить буткит для Linux в процесс реальной атаки, авторы отчета из ESET рекомендуют не отключать Secure Boot и регулярно обновлять так называемый UEFI Revocation List — список модулей UEFI, разрешение на запуск которых было отозвано. Этот механизм призван блокировать запуск ранее «одобренных» модулей, содержащих какую-либо уязвимость, которая может быть использована в реальных атаках. К сожалению, данный механизм работает не оптимально. Мы подробно писали об этом 4 года назад на примере уязвимости в том самом загрузчике GRUB для Linux-систем. Тогда ошибка в загрузчике сделала необходимым добавление в черный список более 80 модулей UEFI.
Что еще произошло
Выпущен очередной отчет «Лаборатории Касперского» по эволюции киберугроз за 2024 год. В состав отчета входят три публикации: обзорная статья по наиболее сложным киберугрозам, статистика по угрозам для ПК и по мобильным устройствам.
Критические уязвимости обнаружены в NAS и роутерах фирмы QNAP. При этом обновление прошивки устройств QNAP в ноябре привело к тому, что часть пользователей потеряли доступ к интерфейсу NAS.
Сообщается о нетривиальной системе рассылки заведомо поврежденных файлов в рамках фишинговых кампаний. Злоумышленники сознательно портят заголовок архивов в формате ZIP и документов Microsoft Word, что затрудняет автоматический анализ этих файлов. При этом штатное программное обеспечение позволяет «восстановить» поврежденный файл, и таким образом вредоносное содержимое будет успешно доставлено жертве.
На прошлой и позапрошлой неделе широко обсуждалось обновление пользовательского соглашения для продуктов Microsoft, в котором якобы допускалось использование пользовательских офисных документов для тренировки систем искусственного интеллекта. Microsoft эти обвинения отрицает, и, судя по всему, речь идет о традиционной особенности ИИ-помощников. Чтобы, например, проверить текст на грамматические ошибки или перевести его на другой язык, придется отправить его на серверы Microsoft. По словам представителей компании, пользовательское соглашение покрывает только такие сценарии и не предполагает автоматическую отправку вообще всех документов для обучения ИИ-систем. Переживания пользователей тоже понятны после многочисленных случаев использования контента, публикуемого в соцсетях, для тренировки языковых моделей.
На практике реализовать подобную атаку достаточно сложно: известны лишь три примера реальных буткитов, закрепляющихся в UEFI. Из них только самый свежий, известный как BlackLotus, способен обойти систему Secure Boot, направленную как раз на блокировку выполнения «неавторизованного» кода на начальном этапе загрузки. Как и следовало ожидать, целью всех реальных буткитов является атака на ОС Windows. Именно поэтому Linux-буткит мог бы представлять особый интерес. Впрочем, в данном случае, как позднее выяснилось, речь не идет о реальном вредоносном ПО — это был учебный Proof of Concept, разработанный в рамках учебной программы по кибербезопасности в Южной Корее.
Изначально об «учебной» природе буткита не было известно. Специалисты ESET обнаружили Bootkitty (так назвали его создатели) после того, как он был загружен на сервис VirusTotal. Впрочем, исследователями отмечается его «почти» полная работоспособность. Это «почти» относится как раз к части обхода механизма Secure Boot: на системах, где этот механизм безопасности работает, буткит не запустится.
Зато работает механизм атаки на ядро Linux: модифицируется загрузчик GRUB, отключается проверка подписи ядра, а при загрузке системы обеспечивается выполнение двух исполняемых файлов. Впрочем, и здесь есть некоторые ограничения: разработчики Bootkitty не стали учитывать все разнообразие конфигураций дистрибутивов на базе Linux, ограничившись намертво вшитой последовательностью действий для собственной тестовой ОС. В частности, ядро Linux модифицируется после декомпрессии и до запуска, и эти патчи работают только для конкретной его версии.
На случай, если кто-то все же попытается включить буткит для Linux в процесс реальной атаки, авторы отчета из ESET рекомендуют не отключать Secure Boot и регулярно обновлять так называемый UEFI Revocation List — список модулей UEFI, разрешение на запуск которых было отозвано. Этот механизм призван блокировать запуск ранее «одобренных» модулей, содержащих какую-либо уязвимость, которая может быть использована в реальных атаках. К сожалению, данный механизм работает не оптимально. Мы подробно писали об этом 4 года назад на примере уязвимости в том самом загрузчике GRUB для Linux-систем. Тогда ошибка в загрузчике сделала необходимым добавление в черный список более 80 модулей UEFI.
Что еще произошло
Выпущен очередной отчет «Лаборатории Касперского» по эволюции киберугроз за 2024 год. В состав отчета входят три публикации: обзорная статья по наиболее сложным киберугрозам, статистика по угрозам для ПК и по мобильным устройствам.
Критические уязвимости обнаружены в NAS и роутерах фирмы QNAP. При этом обновление прошивки устройств QNAP в ноябре привело к тому, что часть пользователей потеряли доступ к интерфейсу NAS.
Сообщается о нетривиальной системе рассылки заведомо поврежденных файлов в рамках фишинговых кампаний. Злоумышленники сознательно портят заголовок архивов в формате ZIP и документов Microsoft Word, что затрудняет автоматический анализ этих файлов. При этом штатное программное обеспечение позволяет «восстановить» поврежденный файл, и таким образом вредоносное содержимое будет успешно доставлено жертве.
На прошлой и позапрошлой неделе широко обсуждалось обновление пользовательского соглашения для продуктов Microsoft, в котором якобы допускалось использование пользовательских офисных документов для тренировки систем искусственного интеллекта. Microsoft эти обвинения отрицает, и, судя по всему, речь идет о традиционной особенности ИИ-помощников. Чтобы, например, проверить текст на грамматические ошибки или перевести его на другой язык, придется отправить его на серверы Microsoft. По словам представителей компании, пользовательское соглашение покрывает только такие сценарии и не предполагает автоматическую отправку вообще всех документов для обучения ИИ-систем. Переживания пользователей тоже понятны после многочисленных случаев использования контента, публикуемого в соцсетях, для тренировки языковых моделей.
