正常情况下WindowsPC上的安全软件可以在检测到恶意软件后执行查杀,为了避免被查杀部分恶意软件针对UEFI展开攻击,这样即便在重启系统后恶意软件依然可以持久化运行。不过大多数针对UEFI的恶意软件都是针对WindowsPC的,至少在此前还没有看到针对Linux系统的UEFI恶意软件,但这种情况现在发生了变化。
安全软件开发商ESET在检查2024年11月上传到VirusTotal扫描网站的可疑文件bootkit.efi时发现了BootKitty,这个rootkit仅针对LinuxUEFI。
经过分析ESET确认这是LinuxUEFI启动工具包首次绕过内核签名验证并在系统启动过程中加载恶意组件的案例,不过开发BootKitty的黑客目前也仅在测试。
实际测试安全公司发现BootKitty只能在某些特定版本的Ubuntu和配置上使用,因此这并不能对大多数Linux系统造成威胁,但后续黑客肯定也会继续进行完善。
当然BootKitty目前使用的是自签名,因此如果已经启用了安全启动功能则自签名无法通过验证因此BootKitty也无法运行,或许还因为测试阶段开发不完善,ESET在测试过程中发现这个rootkit经常导致Linux系统崩溃。
尽管就目前来说BootKitty不会在现实世界中产生影响,但这也说明已经有黑客瞄准Linux系统,对于安全业界来说这需要关注的情况,随着时间的推移这种rootkit工具可能就会逐渐成熟,对Linux展开广泛攻击。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】