{"id":257,"date":"2024-11-29T04:32:00","date_gmt":"2024-11-29T04:32:00","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=257"},"modified":"2024-11-27T16:39:18","modified_gmt":"2024-11-27T16:39:18","slug":"pesquisadores-descobrem-bootkitty-primeiro-uefi-bootkit-direcionado-a-kernels-linux","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2024\/11\/29\/pesquisadores-descobrem-bootkitty-primeiro-uefi-bootkit-direcionado-a-kernels-linux\/","title":{"rendered":"Pesquisadores descobrem “Bootkitty” \u2013 Primeiro UEFI Bootkit direcionado a kernels Linux"},"content":{"rendered":"\n

Pesquisadores de seguran\u00e7a cibern\u00e9tica lan\u00e7aram luz sobre o que foi descrito como o primeiro bootkit<\/a> Unified Extensible Firmware Interface (UEFI) projetado para sistemas Linux.<\/p>\n\n\n\n

Apelidado de Bootkitty<\/strong> por seus criadores, que atendem pelo nome de BlackCat, o bootkit<\/a> \u00e9 avaliado como uma prova de conceito (PoC) e n\u00e3o h\u00e1 evid\u00eancias de que tenha sido usado em ataques no mundo real. Tamb\u00e9m rastreado como IranuKit<\/a> , ele foi carregado<\/a> na plataforma VirusTotal em 5 de novembro de 2024.<\/p>\n\n\n\n

“O principal objetivo do bootkit \u00e9 desabilitar o recurso de verifica\u00e7\u00e3o de assinatura do kernel e pr\u00e9-carregar dois bin\u00e1rios ELF ainda desconhecidos por meio do processo init do Linux (que \u00e9 o primeiro processo executado pelo kernel do Linux durante a inicializa\u00e7\u00e3o do sistema)”, disseram<\/a> os pesquisadores da ESET Martin Smol\u00e1r e Peter Str\u00fd\u010dek .<\/p>\n\n\n\n

O desenvolvimento \u00e9 significativo, pois anuncia uma mudan\u00e7a no cen\u00e1rio de amea\u00e7as cibern\u00e9ticas, onde os bootkits UEFI n\u00e3o est\u00e3o mais confinados apenas aos sistemas Windows<\/a> .<\/p>\n\n\n\n

Vale ressaltar que o Bootkitty \u00e9 assinado por um certificado autoassinado e, portanto, n\u00e3o pode ser executado em sistemas com UEFI Secure Boot habilitado, a menos que um certificado controlado pelo invasor j\u00e1 tenha sido instalado.<\/p>\n\n\n

\n
\"Kit<\/a><\/figure>\n<\/div>\n\n\n

Independentemente do status do UEFI Secure Boot, o bootkit \u00e9 projetado principalmente para inicializar o kernel do Linux e corrigir, na mem\u00f3ria, a resposta da fun\u00e7\u00e3o para verifica\u00e7\u00e3o de integridade antes que o GNU GRand Unified Bootloader ( GRUB<\/a> ) seja executado.<\/p>\n\n\n\n

Especificamente, ele prossegue para conectar duas fun\u00e7\u00f5es dos protocolos de autentica\u00e7\u00e3o UEFI se o Secure Boot estiver habilitado de tal forma que as verifica\u00e7\u00f5es de integridade UEFI sejam ignoradas. Posteriormente, ele tamb\u00e9m corrige tr\u00eas fun\u00e7\u00f5es diferentes no carregador de inicializa\u00e7\u00e3o GRUB leg\u00edtimo para contornar outras verifica\u00e7\u00f5es de integridade.<\/p>\n\n\n\n

A empresa eslovaca de seguran\u00e7a cibern\u00e9tica disse que sua investiga\u00e7\u00e3o sobre o bootkit tamb\u00e9m levou \u00e0 descoberta de um prov\u00e1vel m\u00f3dulo de kernel n\u00e3o assinado que \u00e9 capaz de implantar um bin\u00e1rio ELF chamado BCDropper, que carrega outro m\u00f3dulo de kernel ainda desconhecido ap\u00f3s a inicializa\u00e7\u00e3o do sistema.<\/p>\n\n\n\n

O m\u00f3dulo do kernel, tamb\u00e9m apresentando BlackCat como o nome do autor, implementa outras funcionalidades relacionadas ao rootkit, como ocultar arquivos, processos e abrir portas. N\u00e3o h\u00e1 evid\u00eancias que sugiram uma conex\u00e3o com o grupo de ransomware ALPHV\/BlackCat neste est\u00e1gio.<\/p>\n\n\n\n

“Seja uma prova de conceito ou n\u00e3o, o Bootkitty marca um avan\u00e7o interessante no cen\u00e1rio de amea\u00e7as UEFI, quebrando a cren\u00e7a de que os bootkits UEFI modernos s\u00e3o amea\u00e7as exclusivas do Windows”, disseram os pesquisadores, acrescentando que “ele enfatiza a necessidade de estar preparado para potenciais amea\u00e7as futuras”.<\/p>\n","protected":false},"excerpt":{"rendered":"

Pesquisadores de seguran\u00e7a cibern\u00e9tica lan\u00e7aram luz sobre o que foi descrito como o primeiro bootkit Unified Extensible Firmware Interface (UEFI) projetado para sistemas Linux. Apelidado de Bootkitty por seus criadores, que atendem pelo nome de BlackCat, o bootkit \u00e9 avaliado como uma prova de conceito (PoC) e n\u00e3o h\u00e1 evid\u00eancias de que tenha sido usado em ataques no mundo real. Tamb\u00e9m […]<\/p>\n","protected":false},"author":1,"featured_media":258,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[5,6,1],"tags":[],"class_list":["post-257","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-desenvolvimento","category-novidade","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/257","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=257"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/257\/revisions"}],"predecessor-version":[{"id":259,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/257\/revisions\/259"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/258"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=257"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=257"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=257"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}