Bootkitty Malware Khusus Linux

Dari hasil riset peneliti ESET ditemukan ancaman dari Bootkitty malware khusus Linux, ini merupakan ancaman baru untuk Linux, berikut pemaparannya.

Bootkitty merupakan bootkit UEFI pertama yang secara khusus menargetkan sistem Linux, sehingga membuat kasus ini menjadi lebih spesial.

Serangan pertama bootkit Linux ini juga menandai pergeseran ancaman bootkit yang tersembunyi dan sulit dihapus yang sebelumnya berfokus pada Windows.

Malware Linux ini bukti konsep yang hanya berfungsi pada beberapa versi dan konfigurasi Ubuntu, bukan ancaman lengkap dalam serangan sebenarnya.

Bootkit adalah malware yang dirancang untuk menginfeksi proses boot komputer, memuat sebelum sistem operasi dan memungkinkannya untuk mendapatkan kendali atas sistem pada level yang sangat rendah.

Keuntungan dari praktik ini serangan jenis ini adalah:

• Bootkit dapat menghindari alat keamanan yang berjalan pada level sistem operasi
• Memodifikasi komponen sistem atau menyuntikkan kode berbahaya tanpa risiko terdeteksi.

Peringatan ESET

Peneliti ESET yang menemukan Bootkitty memperingatkan bahwa keberadaannya merupakan evolusi signifikan dalam ruang ancaman bootkit UEFI yang jarang terlihat.

ESET menemukan Bootkitty setelah memeriksa file mencurigakan (bootkit.efi) yang diunggah ke VirusTotal pada bulan November 2024.

Setelah dianalisis, ESET mengonfirmasi bahwa ini adalah kasus pertama bootkit UEFI Linux yang melewati verifikasi tanda tangan kernel dan memuat komponen berbahaya selama proses boot sistem.

Bootkitty mengandalkan sertifikat yang ditandatangani sendiri, sehingga tidak akan dijalankan pada sistem dengan Boot Aman yang diaktifkan dan hanya menargetkan distribusi Ubuntu tertentu.

Selain itu, offset yang dikodekan secara keras dan pencocokan pola byte yang sederhana membuatnya hanya dapat digunakan pada versi GRUB dan kernel tertentu, sehingga tidak cocok untuk penyebaran yang luas.

Diketahui juga bahwa malware memiliki banyak fungsi yang tidak digunakan dan menangani kompatibilitas versi kernel dengan buruk, sehingga sering mogok.

Sifat malware yang bermasalah dan fakta bahwa telemetri ESET tidak menunjukkan tanda-tanda Bootkitty pada sistem aktif membuat para peneliti menyimpulkan bahwa malware tersebut masih dalam tahap awal pengembangan.

Kemampuan Bootkitty

Selama boot, Bootkitty mengaitkan protokol autentikasi keamanan UEFI (EFI_SECURITY2_ARCH_PROTOCOL dan EFI_SECURITY_ARCH_PROTOCOL) untuk melewati pemeriksaan verifikasi integritas Secure Boot, memastikan bootkit dimuat tanpa mempedulikan kebijakan keamanan.

Selanjutnya, ia mengaitkan berbagai fungsi GRUB seperti ‘start_image’ dan ‘grub_verifiers_open’ untuk memanipulasi pemeriksaan integritas bootloader untuk biner, termasuk kernel Linux, menonaktifkan verifikasi tanda tangan.

Bootkitty kemudian mencegat proses dekompresi kernel Linux dan mengaitkan fungsi ‘module_sig_check’. Ini memaksanya untuk selalu mengembalikan keberhasilan selama pemeriksaan modul kernel, yang memungkinkan malware memuat modul berbahaya.

Ia juga mengganti variabel lingkungan pertama dengan ‘LD_PRELOAD=/opt/injector.so’ sehingga pustaka berbahaya disuntikkan ke dalam proses saat peluncuran sistem.

Seluruh proses ini meninggalkan beberapa artefak, beberapa disengaja dan yang lainnya tidak, jelas ESET, yang merupakan indikasi lain dari kurangnya penyempurnaan Bootkitty.

BCDropper

Para peneliti juga mencatat bahwa pengguna yang sama yang mengunggah Bootkitty ke VT juga mengunggah modul kernel yang tidak ditandatangani bernama ‘BCDropper,’ tetapi bukti yang tersedia menghubungkan keduanya dengan lemah.

BCDropper menjatuhkan file ELF bernama ‘BCObserver,’ modul kernel dengan fungsionalitas rootkit yang menyembunyikan file, proses, dan membuka port pada sistem yang terinfeksi.

Penemuan jenis malware ini menggambarkan bagaimana penyerang mengembangkan malware Linux yang sebelumnya diisolasi ke Windows karena perusahaan semakin mengadopsi Linux.

Indikator kompromi (IoC) yang terkait dengan Bootkitty telah dibagikan di repositori GitHub ini.

Sumber berita:

WeLiveSecurity