Bootkitty : Le premier UEFI bootkit pour Linux

[Juanito]

BootKitty

 
Les chercheurs de la société de sécurité ESET ont récemment découvert un malware UEFI bootkit nommé Bootkitty, qui est le premier de son genre à cibler les systèmes Linux. Contrairement aux bootkits précédents qui ciblaient exclusivement Windows, Bootkitty est conçu pour les distributions Ubuntu.
 
Qu'est-ce qu'un UEFI bootkit ?

Les bootkits sont des types de malware qui infectent le processus de démarrage d'un ordinateur, permettant au logiciel malveillant de prendre le contrôle du système avant même que le système d'exploitation ne démarre. Cela rend leur détection et leur suppression particulièrement difficiles.

Quel est le fonctionnement de Bootkitty?

Bootkitty agit en modifiant le code de démarrage de l'ordinateur, en désactivant les mécanismes de sécurité comme l'authentification des signatures du noyau Linux. Lorsqu'un ordinateur cible démarre, Bootkitty s'exécute avant le système d'exploitation et remplace des fichiers critiques pour s'assurer que le malware est chargé en priorité. En plus, il injecte deux fichiers ELF inconnus via le processus "init" du noyau Linux. Ces manipulations permettent à Bootkitty de maintenir un contrôle persistant sur le système, même après des redémarrages ou des tentatives de nettoyage.


Caractéristiques de Bootkitty

Bootkitty est encore à un stade de développement préliminaire et présente plusieurs bugs et limitations. Il ne peut actuellement cibler que certaines versions d'Ubuntu et ne fonctionne pas sur les systèmes avec UEFI Secure Boot activé.

Problèmes de sécurité et préoccupations

Bien que Bootkitty soit actuellement peu sophistiqué et ne soit pas encore utilisé dans des attaques réelles, son existence souligne une évolution significative dans le paysage des menaces UEFI. Les chercheurs d'ESET ont également découvert un module noyau non signé lié à Bootkitty, ce qui pourrait indiquer que le malware pourrait évoluer pour devenir plus stable et dangereux.

Sources:

https://thehackernews.com/2024/11/resear...first.html
https://www.welivesecurity.com/en/eset-r...kit-linux/
https://www.bleepingcomputer.com/news/se...for-linux/

[EnZ0]

Cette menace illustre parfaitement les concepts de sécurité bas niveau et l'importance de comprendre l'architecture système. Le schéma fourni est particulièrement intéressant, car il détaille précisément le flux d'exécution de Bootkitty. On peut voir comment l'attaquant exploite la chaîne de démarrage UEFI pour compromettre le système.

Ce qui est fascinant, c'est la façon dont le malware contourne les mécanismes de sécurité traditionnels en s'injectant très tôt dans le processus de boot. Le diagramme montre clairement les différentes étapes, depuis le firmware UEFI jusqu'à l'injection finale dans le processus init.

Un aspect technique crucial à noter est la manipulation du shim et du bootloader GRUB2, deux composants essentiels du démarrage sécurisé sur Linux. La partie en rose sur le schéma représente les composants malveillants, tandis que le bleu indique les éléments légitimes du système : une distinction visuelle qui aide à comprendre la portée de l'infection.

Pour les futurs administrateurs systèmes que vous êtes, c'est un excellent exemple de l'importance de sécuriser la chaîne de démarrage complète. D'ailleurs, le fait que ce malware ne fonctionne pas avec Secure Boot activé souligne l'importance des bonnes pratiques de sécurité.

On pourrait penser que Linux est immunisé contre ce type d'attaques, mais Bootkitty prouve le contraire. C'est un rappel que la sécurité doit être considérée à tous les niveaux, même les plus bas de l'architecture système.

Si on reprend un peu le schéma de Juanito, voici les étapes du processus d'infection :

Phase initiale
L'attaquant commence par déployer le bootkit et redémarre la machine. Le firmware UEFI exécute alors la partition système EFI, où commence réellement l'infection.

Chaîne de confiance compromise
Le schéma montre comment le malware s'insère dans la chaîne de validation du bootloader :

• Il intercepte d'abord le shim64.efi (composant Microsoft-signed, oui oui, sur Linux...)
  
• Il contourne la vérification de confiance via MokManager
  
• Il injecte un grub64.efi malveillant auto-signé
  

Modification du noyau
La partie la plus intéressante est la séquence de patches en bas du schéma :

• Le hook zstd_decompress_dctx pour la décompression du noyau
  
• La modification de mod_sig_check pour contourner les vérifications
  
• L'injection finale via /opt/injector.so dans le processus init
  

Ce qui est particulièrement astucieux, c'est la façon dont le malware maintient sa persistance en modifiant les composants critiques tout en préservant leur fonctionnalité de base. C'est vraiment un exemple concret de la sophistication croissante des menaces visant Linux.

Pour vous, étudiants en BTS SIO, ce schéma est une excellente ressource pédagogique pour comprendre concrètement comment un malware peut compromettre un système au niveau le plus bas.

Merci pour cet article Juanito