На прошлой неделе компания ESET сообщила об обнаружении буткита, конечной целью которого является атака систем на базе Linux. Задача любого буткита — выполнить вредоносный код до загрузки ядра системы. Это в теории обеспечивает широкие возможности контроля над атакуемым компьютером и затрудняет обнаружение вредоносного ПО. Закрепление буткита в прошивке UEFI также позволяет пережить полную переустановку ОС или замену жесткого диска.
На практике реализовать подобную атаку достаточно сложно: известны лишь три примера реальных буткитов, закрепляющихся в UEFI. Из них только самый свежий, известный как BlackLotus, способен обойти систему Secure Boot, направленную как раз на блокировку выполнения «неавторизованного» кода на начальном этапе загрузки. Как и следовало ожидать, целью всех реальных буткитов является атака на ОС Windows. Именно поэтому Linux-буткит мог бы представлять особый интерес. Впрочем, в данном случае, как позднее выяснилось, речь не идет о реальном вредоносном ПО — это был учебный Proof of Concept, разработанный в рамках учебной программы по кибербезопасности в Южной Корее.
Изначально об «учебной» природе буткита не было известно. Специалисты ESET обнаружили Bootkitty (так назвали его создатели) после того, как он был загружен на сервис VirusTotal. Впрочем, исследователями от��ечается его «почти» полная работоспособность. Это «почти» относится как раз к части обхода механизма Secure Boot: на системах, где этот механизм безопасности работает, буткит не запустится.
Зато работает механизм атаки на ядро Linux: модифицируется загрузчик GRUB, отключается проверка подписи ядра, а при загрузке системы обеспечивается выполнение двух исполняемых файлов. Впрочем, и здесь есть некоторые ограничения: разработчики Bootkitty не стали учитывать все разнообразие конфигураций дистрибутивов на базе Linux, ограничившись намертво вшитой последовательностью действий для собственной тестовой ОС. В частности, ядро Linux модифицируется после декомпрессии и до запуска, и эти патчи работают только для конкретной его версии.
На случай, если кто-то все же попытается включить буткит для Linux в процесс реальной атаки, авторы отчета из ESET рекомендуют не отключать Secure Boot и регулярно обновлять так называемый UEFI Revocation List — список модулей UEFI, разрешение на запуск которых было отозвано. Этот механизм призван блокировать запуск ранее «одобренных» модулей, содержащих какую-либо уязвимость, которая может быть использована в реальных атаках. К сожалению, данный механизм работает не оптимально. Мы подробно писали об этом 4 года назад на примере уязвимости в том самом загрузчике GRUB для Linux-систем. Тогда ошибка в загрузчике сделала необходимым добавление в черный список более 80 модулей UEFI.
Что еще произошло
Выпущен очередной отчет «Лаборатории Касперского» по эволюции киберугроз за 2024 год. В состав отчета входят три публикации: обзорная статья по наиболее сложным киберугрозам, статистика по угрозам для ПК и по мобильным устройствам.
Критические уязвимости обнаружены в NAS и роутерах фирмы QNAP. При этом обновление прошивки устройств QNAP в ноябре привело к тому, что часть пользователей потеряли доступ к интерфейсу NAS.
Сообщается о нетривиальной системе рассылки заведомо поврежденных файлов в рамках фишинговых кампаний. Злоумышленники сознательно портят заголовок архивов в формате ZIP и документов Microsoft Word, что затрудняет автоматический анализ этих файлов. При этом штатное программное обеспечение позволяет «восстановить» поврежденный файл, и таким образом вредоносное содержимое будет успешно доставлено жертве.
На прошлой и позапрошлой неделе широко обсуждалось обновление пользовательского соглашения для продуктов Microsoft, в котором якобы допускалось использование пользовательских офисных документов для тренировки систем искусственного интеллекта. Microsoft эти обвинения отрицает, и, судя по всему, речь идет о традиционной особенности ИИ-помощников. Чтобы, например, проверить текст на грамматические ошибки или перевести его на другой язык, придется отправить его на серверы Microsoft. По словам представителей компании, пользовательское соглашение покрывает только такие сценарии и не предполагает автоматическую отправку вообще всех документов для обучения ИИ-систем. Переживания пользователей тоже понятны после многочисленных случаев использования контента, публикуемого в соцсетях, для тренировки языковых моделей.
На практике реализовать подобную атаку достаточно сложно: известны лишь три примера реальных буткитов, закрепляющихся в UEFI. Из них только самый свежий, известный как BlackLotus, способен обойти систему Secure Boot, направленную как раз на блокировку выполнения «неавторизованного» кода на начальном этапе загрузки. Как и следовало ожидать, целью всех реальных буткитов является атака на ОС Windows. Именно поэтому Linux-буткит мог бы представлять особый интерес. Впрочем, в данном случае, как позднее выяснилось, речь не идет о реальном вредоносном ПО — это был учебный Proof of Concept, разработанный в рамках учебной программы по кибербезопасности в Южной Корее.
Изначально об «учебной» природе буткита не было известно. Специалисты ESET обнаружили Bootkitty (так назвали его создатели) после того, как он был загружен на сервис VirusTotal. Впрочем, исследователями от��ечается его «почти» полная работоспособность. Это «почти» относится как раз к части обхода механизма Secure Boot: на системах, где этот механизм безопасности работает, буткит не запустится.
Зато работает механизм атаки на ядро Linux: модифицируется загрузчик GRUB, отключается проверка подписи ядра, а при загрузке системы обеспечивается выполнение двух исполняемых файлов. Впрочем, и здесь есть некоторые ограничения: разработчики Bootkitty не стали учитывать все разнообразие конфигураций дистрибутивов на базе Linux, ограничившись намертво вшитой последовательностью действий для собственной тестовой ОС. В частности, ядро Linux модифицируется после декомпрессии и до запуска, и эти патчи работают только для конкретной его версии.
На случай, если кто-то все же попытается включить буткит для Linux в процесс реальной атаки, авторы отчета из ESET рекомендуют не отключать Secure Boot и регулярно обновлять так называемый UEFI Revocation List — список модулей UEFI, разрешение на запуск которых было отозвано. Этот механизм призван блокировать запуск ранее «одобренных» модулей, содержащих какую-либо уязвимость, которая может быть использована в реальных атаках. К сожалению, данный механизм работает не оптимально. Мы подробно писали об этом 4 года назад на примере уязвимости в том самом загрузчике GRUB для Linux-систем. Тогда ошибка в загрузчике сделала необходимым добавление в черный список более 80 модулей UEFI.
Что еще произошло
Выпущен очередной отчет «Лаборатории Касперского» по эволюции киберугроз за 2024 год. В состав отчета входят три публикации: обзорная статья по наиболее сложным киберугрозам, статистика по угрозам для ПК и по мобильным устройствам.
Критические уязвимости обнаружены в NAS и роутерах фирмы QNAP. При этом обновление прошивки устройств QNAP в ноябре привело к тому, что часть пользователей потеряли доступ к интерфейсу NAS.
Сообщается о нетривиальной системе рассылки заведомо поврежденных файлов в рамках фишинговых кампаний. Злоумышленники сознательно портят заголовок архивов в формате ZIP и документов Microsoft Word, что затрудняет автоматический анализ этих файлов. При этом штатное программное обеспечение позволяет «восстановить» поврежденный файл, и таким образом вредоносное содержимое будет успешно доставлено жертве.
На прошлой и позапрошлой неделе широко обсуждалось обновление пользовательского соглашения для продуктов Microsoft, в котором якобы допускалось использование пользовательских офисных документов для тренировки систем искусственного интеллекта. Microsoft эти обвинения отрицает, и, судя по всему, речь идет о традиционной особенности ИИ-помощников. Чтобы, например, проверить текст на грамматические ошибки или перевести его на другой язык, придется отправить его на серверы Microsoft. По словам представителей компании, пользовательское соглашение покрывает только такие сценарии и не предполагает автоматическую отправку вообще всех документов для обучения ИИ-систем. Переживания пользователей тоже понятны после многочисленных случаев использования контента, публикуемого в соцсетях, для тренировки языковых моделей.
