ブートキティマルウェア
サイバーセキュリティ研究者は、Linux システムをターゲットに特別に設計された、史上初の Unified Extensible Firmware Interface (UEFI) ブートキットと称されるものを発表しました。Bootkitty と名付けられたこの新しい開発は、従来 UEFI ブートキットは主に Windows プラットフォームに関連付けられてきたサイバー脅威の状況に大きな変化をもたらすものです。
目次
Bootkitty: 概念実証か新たな脅威か?
2024 年 11 月 5 日に発見された Bootkitty は、実際に展開されている脅威ではなく、概念実証 (PoC) であると考えられています。IranuKit とも呼ばれるこのブートキットは、現時点では実際の攻撃で使用されていることを示す証拠はありません。BlackCat という別名で活動する開発者によって作成されたこのブートキットの主な目的は、Linux の初期化プロセス中に、まだ正体不明の 2 つの ELF バイナリをプリロードしながら、Linux カーネルの署名検証を無効にすることです。システム起動時にカーネルの開始点として機能するこのプロセスは、Linux の運用セキュリティにとって非常に重要です。
Linux の UEFI の悪用: 新たなリスクの次元
Bootkitty の出現は、UEFI ブートキットは Windows システム専用であるという長年の認識に疑問を投げかけています。この展開により、Linux ユーザーは新たな悪用の手段に直面することになります。ブートキットは自己署名証明書を利用してペイロードを実行するため、UEFI セキュア ブートが有効になっているシステムでは機能が制限されます。ただし、攻撃者が不正な証明書を自分の管理下にインストールできれば、依然として動作する可能性があります。
Bootkitty はセキュア ブートをバイパスするだけでなく、ブート プロセス中に Linux カーネルのメモリを操作して整合性チェックを弱体化させます。GNU GRand Unified Bootloader (GRUB) が実行される前に、ブートキットは整合性検証に重要な機能を傍受してパッチを適用します。この多層攻撃戦略は、UEFI と Linux システム内部の高度な理解を示しています。
セキュアブートとGRUBをターゲットに: 高度なテクニックを活用
セキュア ブートが有効になっている場合、Bootkitty は UEFI 認証プロトコルを変更して整合性チェックをバイパスします。また、正規の GRUB ブートローダー機能にパッチを適用して検出を回避し、安全でないペイロードを実行する能力をさらに確保します。これらのパッチは Linux カーネルの解凍プロセスにまで及ぶため、ブートキットは起動時に不正なモジュールをロードできるようになります。
Bootkitty は、攻撃を容易にするために、環境変数 LD_PRELOAD を変更します。この調整により、Linux 初期化プロセスは、'/opt/injector.so' および '/init' として識別される 2 つの不明な ELF 共有オブジェクトを強制的にロードし、ブートキットがシステム操作に及ぶ範囲を拡大します。
BCDropper と BCObserver: より大きなフレームワーク?
Bootkitty の調査により、BCDropper という、おそらく関連のある未署名のカーネル モジュールが発見されました。このモジュールは、BCObserver という ELF バイナリを展開することができ、システムの起動時に別の未確認のカーネル モジュールをロードします。同じ BlackCat の仮名で動作するこの追加モジュールは、ファイル、プロセス、ネットワーク ポートを隠すなど、ルートキットに典型的な機能を備えています。これらの高度な機能にもかかわらず、研究者は、このアクティビティを ALPHV/BlackCat ランサムウェア グループに関連付ける証拠を見つけていません。
UEFI セキュリティと Linux システムへの影響
Bootkitty はまだ概念実証に分類されていますが、UEFI ブートキットの進化における新たな章を告げるものであり、Windows 環境を超えてその影響範囲が拡大しています。この展開は、長い間このような攻撃に対して脆弱性が低いと考えられてきた Linux ベースのシステムで、将来の潜在的な脅威に備えることの重要性を強調しています。
Bootkitty の台頭は、ファームウェアを常に最新の状態に維持し、信頼できる証明書を使用し、可能な限りセキュア ブートを有効にするなど、システム セキュリティ対策を厳重に行う必要性を浮き彫りにしています。Linux での UEFI ブートキットの実現可能性を実証した Bootkitty は、サイバー セキュリティの専門家と Linux ユーザーの両方に、防御を強化するよう警鐘を鳴らしています。