Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief
Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.
©

ESET Research ontdekt eerste UEFI-bootkit voor Linux

27 november 20245 minuten leestijdSecurity & AwarenessKey Communications

ESET Research heeft de eerste UEFI-bootkit ontdekt, ontworpen voor Linux-systemen en door zijn makers Bootkitty genoemd. ESET denkt dat het waarschijnlijk een eerste proof of concept is, en op basis van zijn telemetrie is deze nog niet ‘in the wild’ geïmplementeerd. Dit is het eerste bewijs dat UEFI-bootkits niet langer tot Windows-systemen beperkt blijven.

·       In november 2024 werd een nog onbekende applicatie, bootkit.efi genaamd, geüpload naar VirusTotal. Na onderzoek ontdekte ESET Research dat het een UEFI-applicatie was.

·       Verdere analyse bevestigde dat het een UEFI-bootkit is, door zijn ontwikkelaars Bootkitty genoemd. Het is de eerste UEFI-bootkit gericht op Linux en op verschillende Ubuntu-versies. De bootkit bevat veel artefacten, wat suggereert dat het meer op een proof of concept lijkt dan op het werk van een bedreigingsactor.

·       ESET Research ontdekte ook een mogelijk gerelateerde kernelmodule, die ze BCDropper noemden. Het implementeert een Executable and Linking Format (ELF) Linux-programma dat verantwoordelijk is voor het laden van een andere kernelmodule.

BRATISLAVA — November 27, 2024 — ESET Research heeft de eerste UEFI-bootkit ontdekt, ontworpen voor Linux-systemen en door zijn makers Bootkitty genoemd. ESET denkt dat het waarschijnlijk een eerste proof of concept is, en op basis van zijn telemetrie is deze nog niet ‘in the wild’ geïmplementeerd. Dit is het eerste bewijs dat UEFI-bootkits niet langer tot Windows-systemen beperkt blijven. Het hoofddoel van de bootkit is om de functie handtekeningverificatie van de kernel uit te schakelen en twee nog onbekende ELF-binaries vooraf, via het Linux “init”-proces te laden (het eerste proces dat door de Linux-kernel wordt uitgevoerd tijdens het opstarten van het systeem).

De nog onbekende UEFI-applicatie, “bootkit.efi” genaamd, is geüpload naar VirusTotal. Bootkitty is ondertekend door een zelfondertekend certificaat en kan daarom niet uitgevoerd worden op systemen waar UEFI Secure Boot standaard ingeschakeld is. Bootkitty is ontworpen om de Linux-kernel naadloos op te starten, ongeacht of UEFI Secure Boot is ingeschakeld of niet, omdat het in het geheugen de nodige functies patcht die verantwoordelijk zijn voor integriteitsverificatie.

De bootkit is een geavanceerde rootkit die de bootloader kan vervangen en de kernel kan patchen voor deze wordt uitgevoerd. Bootkitty maakt het voor de aanvaller mogelijk om volledige controle over het getroffen toestel te krijgen, omdat dit het opstartproces van het toestel overneemt en malware uitvoert nog voor het besturingssysteem gestart is.

Tijdens de analyse ontdekte ESET een mogelijk gerelateerde niet-ondertekende kernel module, die ESET BCDropper noemde, met tekenen die erop wezen dat deze door dezelfde auteur(s) als Bootkitty zou kunnen ontwikkeld zijn. Het installeert een ELF-binair bestand, verantwoordelijk voor het laden van nog een andere kernel module die voor de analyse nog onbekend was.

“Bootkitty bevat veel artefacten. Het suggereert dat dit meer op een proof of concept lijkt dan op het werk van een bedreigingsactor. Hoewel de huidige versie van VirusTotal nu nog geen echte bedreiging vormt voor de meeste Linux-systemen, daar het slechts een paar Ubuntu-versies kan treffen, benadrukt het de noodzaak om voorbereid te zijn op mogelijke toekomstige bedreigingen”, zegt Martin Smolár, de ESET-onderzoeker die Bootkitty analyseerde. “Om Linux-systemen te beschermen tegen dergelijke bedreigingen, moet men ervoor zorgen dat UEFI Secure Boot ingeschakeld is, systeemfirmware, beveiligingssoftware en besturingssysteem up-to-date zijn, en dat de UEFI-intrekkingslijst ook up-to-date is”, verduidelijkt hij.

Na het opstarten van een systeem met Bootkitty in de ESET-testomgeving, zagen onderzoekers dat de kernel als besmet was gemarkeerd (een bevel kan gebruikt worden om de besmette waarde te controleren), wat niet het geval was wanneer de bootkit afwezig was. Een andere wijze om te bepalen of de bootkit aanwezig is op het systeem waarop UEFI Secure Boot is ingeschakeld, is door een niet-ondertekende dummy-kernel module proberen te laden tijdens runtime. Is deze aanwezig, dan wordt de module geladen; is dit niet het geval, dan weigert de kernel deze te laden. Een eenvoudige manier om van de bootkit af te komen is, wanneer de bootkit geïnstalleerd is als “/EFI/ubuntu/grubx64.efi”, om het legitieme bestand “/EFI/ubuntu/grubx64-real.efi” terug te zetten op de oorspronkelijke locatie, namelijk “/EFI/ubuntu/grubx64.efi”.

De jongste jaren is het gebruik van UEFI-bootkits heel wat geëvolueerd. Het begon met de eerste UEFI-bootkit proof of concept (PoC) beschreven door Andrea Allievi in ​​2012, die als demonstratie diende voor het installeren van bootkits op moderne UEFI-gebaseerde Windows-systemen, en gevolgd werd door vele andere PoC’s (EfiGuard, Boot Backdoor, UEFI-bootkit). Het duurde enkele jaren voor de eerste twee echte UEFI-bootkits ‘in the wild’ ontdekt werden (een ervan was ESPecter, in 2021 ontdekt door ESET) en het duurde nog twee jaar voor de beruchte BlackLotus verscheen; de eerste UEFI-bootkit die UEFI Secure Boot op up-to-date systemen kon omzeilen (in 2023 door ESET ontdekt). De rode draad tussen deze bekende bootkits was hun exclusieve doelwit, namelijk Windows-systemen.

Voor een meer gedetailleerde en technische analyse van Bootkitty, lees de nieuwste blog van ESET Research “Bootkitty: Analyzing the first UEFI bootkit for Linux,” op www.welivesecurity.com/ . Volg ook ESET Research on Twitter (today known as X) voor de nieuwste info over ESET Research.  

Meer lezen

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    AchtergrondSecurity & Awareness

    Dit gaat NIS2 jouw bedrijf aan tijd en geld kosten

    compliance
    OpinieGovernance & Privacy

    Waarom Dora- en NIS2-compliance beginnen met assetmanagement

    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    ActueelSecurity & Awareness

    Vaarwel C++ en C: VS zetten in op memory safe-programmeertalen

    ActueelSecurity & Awareness

    Cybersec Netherlands trekt op met Data Expo

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs