{"id":1071,"date":"2024-12-04T13:11:03","date_gmt":"2024-12-04T13:11:03","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1071"},"modified":"2024-12-04T13:11:03","modified_gmt":"2024-12-04T13:11:03","slug":"erstes-linux-uefi-bootkit-ist-studentenprojekt","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1071","title":{"rendered":"Erstes Linux-UEFI-Bootkit ist Studentenprojekt"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Bootkits sind kein Windows-exklusives \u201cFeature\u201d mehr.\n

isarisphotography | shutterstock.com<\/p>\n<\/div>\n

Forscher des Sicherheitsanbieters ESET hatten Ende November 2024 dar\u00fcber berichtet<\/a>, das erste UEFI-Bootkit f\u00fcr Linux-Systeme entdeckt zu haben. Bereits initial berichteten die ESET Researcher dar\u00fcber, dass die \u201cBootkitty\u201d getaufte Malware nicht \u201cproduktionsreif\u201d ist und eher einem Proof-of-Concept (PoC) gleicht. Diese Einsch\u00e4tzung wurde nun best\u00e4tigt: Offenbar hatten s\u00fcdkoreanische Studenten das PoC im Rahmen eines staatlichen Cybersecurity-Forschungswettbewerbs<\/a> entwickelt und wollten dieses auf einem Event der \u00d6ffentlichkeit pr\u00e4sentieren. Einige Samples des Linux-Bootkits wurden allerdings vorab geleakt, wie ESET in einem Update seines Blogeintrags berichtet. Das Ziel der Studenten, die das Linux-Bootkit entwickelt haben sei demnach gewesen, die Security-Community f\u00fcr potenzielle Risiken zu sensibilisieren.<\/p>\n

Das d\u00fcrften sie trotz des Leaks erreicht haben, denn auch wenn der Bootkitty-Prototyp nicht einsatzbereit ist, unterstreicht seine Existenz laut den ESET-Sicherheitsexperten eine wichtige Botschaft: \u201eUEFI-Bootkits sind nicht mehr nur auf Windows-Systeme beschr\u00e4nkt.\u201c<\/p>\n

UPDATE: #ESETresearch was contacted by one of the possible authors of the Bootkitty bootkit, claiming the bootkit is a part of project created by cybersecurity students participating in Korea\u2019s Best of the Best (BoB) training program. 1\/2
\nwww.welivesecurity.com\/en\/eset-rese\u2026<\/p>\n

[image or embed]<\/a><\/p>\n

\u2014 ESETResearch (@esetresearch.bsky.social<\/a>) 2. Dezember 2024 um 20:04<\/a><\/p>\n

Warum Bootkitty wichtig ist<\/h2>\n

Das Ziel eines Boot-Level-Rootkits<\/a> oder Bootkits besteht darin, bereits im Rahmen des Boot-Vorgangs \u2013 also bevor das Betriebssystem geladen wird \u2013 Schadcode in Systeme einzuschleusen. Das erm\u00f6glicht der Malware<\/a>, ihre Dateien und Prozesse mit Hilfe von Kernel-Privilegien zu verbergen. Die auf dem Betriebssystem installierten Security-L\u00f6sungen werden damit ausgehebelt, respektive umgangen.<\/p>\n

Ein Weg, das zu bewerkstelligen, besteht darin, ein schadhaftes Modul in die Firmware des Rechners einzuschleusen, auch bekannt als UEFI (oder BIOS auf \u00e4lteren Systemen). Die Secure-Boot-Funktion von UEFI<\/a> soll vor Angriffen dieser Art sch\u00fctzen und verifiziert dazu die Signatur von s\u00e4mtlichem Code, der w\u00e4hrend des Boot-Vorgangs geladen wird. Das von Bootkitty eingeschleuste Modul ist mit einem selbst generierten Zertifikat signiert. Deshalb kann die Malware Secure Boot nur dann umgehen, wenn der Benutzer aktiv zustimmt und dieses Zertifikat als vertrauensw\u00fcrdig akzeptiert.<\/p>\n

Dar\u00fcber hinaus weist Bootkitty in seiner PoC-Form weitere Limitationen auf. Beispielsweise funktioniert das Bootkit nur mit einigen, wenigen Ubuntu-Linux-Distributionen und erfordert spezifische Konfigurationen. Allerdings lassen sich diese Einschr\u00e4nkungen beheben. F\u00fcr Black-Hat-Hacker stellt das erste Linux-UEFI-Bootkit potenziell eine unheilvolle Inspiration dar. (fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Bootkits sind kein Windows-exklusives \u201cFeature\u201d mehr. isarisphotography | shutterstock.com Forscher des Sicherheitsanbieters ESET hatten Ende November 2024 dar\u00fcber berichtet, das erste UEFI-Bootkit f\u00fcr Linux-Systeme entdeckt zu haben. Bereits initial berichteten die ESET Researcher dar\u00fcber, dass die \u201cBootkitty\u201d getaufte Malware nicht \u201cproduktionsreif\u201d ist und eher einem Proof-of-Concept (PoC) gleicht. Diese Einsch\u00e4tzung wurde nun best\u00e4tigt: Offenbar hatten […]<\/p>\n","protected":false},"author":0,"featured_media":1072,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1071","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1071"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1071"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1071\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1072"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}