Aller au contenu

Bootkitty est un bootkit UEFI malveillant qui cible Linux

Bonjour,

Bootkitty, un bootkit UEFI malveillant pour Linux, a été découvert et analysé par ESET.

Heureusement, ce n’est sans doute qu’une version de test pas bien méchante.

Le logiciel malveillant, développé en C, désactive la vérification de signature du noyau Linux au démarrage et charge des binaires pendant le processus d’initialisation du noyau Linux.

Un bon point pour lui : il active certaines fonctions si et seulement si le Secure Boot UEFI est activé, et modifie sans difficulté les retours de fonctions censées protéger la machine pour annihiler l’intérêt des fonctions de contrôle.

C’est dans son fonctionnement pour modifier le programme d’initialisation en mémoire que les choses deviennent plus floues et que le programme montre des limites. Il démontre toutefois que les développeurs ont analysé et cherchent à annihiler de même des fonctions clef de sécurisation du chargement du noyau Linux lors de l’initialisation.

Le logiciel malveillant laisse des traces très lisibles après son passage (visibles avec des commandes simples comme uname -v et dmesg).

Malgré tous ses efforts pour contourner ou plutôt modifier les fonctions de sécurisation, le bootkit ne parvient pas encore à tromper le noyau Linux qui, à l’issue du démarrage, est bien marqué comme corrompu (« teinté » avec le code 8192 qui signale qu’un module non signé a été chargé).

Le bootkit découvert ne supprimant pas le fichier .efi renommé et remplacé, il est très simple de remettre les choses en ordre.

Analyse

Il va de soi que les tentatives d’attaques à destination de systèmes Linux vont continuer de se développer, que ce soit du côté des serveurs que des stations de travail, des systèmes et objets connectés comme des ordiphones.

Cela dit, l’écosystème GNU / Linux est bien plus complexe à cibler pour les pirates, comme en témoigne, à nouveau, cet exemple : Bootkitty ne fonctionne que sous certaines versions d’Ubuntu, la distribution Linux commerciale de Canonical Ltd.

Une partie de ce code malveillant travaillant en tentant de modifier des codes binaires, pour l’instant sans s’adapter à certains paramètres, il ne fonctionne que sur quelques configurations précises et… fait simplement planter le démarrage du système avec la plupart des noyaux Linux.

Au plaisir,

Marc JESTIN

Pour en savoir plus, voir le communiqué de ESET (anglais) : https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *