[English]ESET Research ist auf das das erste Linux UEFI Boot-Kit gestoßen und hat dieses Bootkitty genannt. Dieses Linux UEFI Boot-Kit wurde Anfang November 2024 auf Virustotal hochgeladen und ist den Sicherheitsforschern dadurch aufgefallen. Ergänzung: Es stellte sich heraus, dass es eine Studentenarbeit war.
Anzeige
Für Windows sind UEFI Boot-Kits, die sich bereits beim Start des Systems im UEFI eingenistet haben, ja bereits länger bekannt. Aber jetzt gibt es "Bootkitty", das Linux UEFI Boot-Kit.
Das Linux UEFI Boot-Kit deaktiviert die Überprüfung der Kernel-Signatur und lädt zwei ELFs vor, die den ESET Sicherheitsforschern bei der ersten Analyse noch unbekannt waren, wie sie in obigem Tweet schreiben. Details zu dieser Entdeckung lassen sich im Blog-Beitrag Bootkitty: Analyzing the first UEFI bootkit for Linux nachlesen.
Ergänzung: Es stellte sich heraus, dass es eine Studentenarbeit war. ESET Research hat am 2. Dezember 2024 folgendes auf X gepostet:
Anzeige
Anzeige
Auch Linux ist nicht sicher, das OS wird derzeit einfach nur aufgrund seiner Verbreitung ignoriert… sit halt uninteressant nur keine 5% der weltweiten PC User aussaugen zu können. IOS & Co dasselbe in einer anderen Farbe.
Das weis jeder der selbst klar denken kann, nur Fanboys wollen das nicht hören!
Außerdem ist das auch sehr eng gefasst und mag speziel auf UEFI vielleicht stimmen, aber ein BIOS Kit gab/gibt es unter Linux auch schon länger und Firmware Malware ist unabhängig vom OS.
Aber Huh Fanboys lügen sich halt gerne in die eigene Tasche…
Es ist Sonntag – kurz nach 9 Uhr.
Das Wort LINUX ist ist einem Artikel gefallen und der Kindergarten hat schon wieder Ausgang!
Viren gibt es wo es Computer gibt – selbst auf dem C64 gab es das schon. Dagegen ist keiner gefeit – man muss es aber wissen. Heute ist auch die Frage wie man das unter das Volk bekommt und wie man das dann erkennt und bekämpft.
Von daher ist es mir egal, ob es Windows, Linux, MacOS oder sonst ein Betriebssystem ist.
Günter – Danke für die Info.
Über MacOS und Linux will ich jetzt hier gar nicht philosophieren. Aber Windows ist doch eigentlich mittlerweile der wahrgewordene Traum jedes Hackers. Malware, die sich als Betriebssystem tarnt.
Es ist die unschöne (weil OT), aber mMn nicht unverständliche Reaktion auf derartige Aussagen der Linuxfans in Windowsthreads.
Insoweit es Kindergarten ist ist es also eine Reflektion des regelmässigen Kindergartenauftretens der Linuxfans.
Eher nicht. Er trollt überall kindergartenhaft herum. Egal, ob Linux Windows oder sonst was.
Der zweite Absatz sagt eigentlich alles über Sie und ihre kaputte Weltsicht. Gehen Sie besser mal zum Arzt.
"Auch Linux ist nicht sicher, das OS wird derzeit einfach nur aufgrund seiner Verbreitung ignoriert…"
Nichts ist total sicher. Auch nicht die 80% der weltweiten Server im Internet, die auf Linux laufen und selbst mit diesem bootkit weiterhin ignoriert werden.
Das UEFI-Bootkit hier hat es auf Desktops abgesehen, wenn ich mir den verlinkten Artikel und dort benannten Abhängigkeiten anschaue.
Man könnte fast denken, dass der Dektopbenutzer selbst sich als das attraktivste Ziel darstellt.
Und in diesem Lichte hast Du sicher Recht. Wenn es darum geht, auf den Desktopuser loszugehen, dann ist Linux tatsächlich ziemlich irrelevant. Nicht nur die maximal 5% Desktop-Systemnutzer, auch die im Vergleich zu Windows extreme Seltenheit eines Desktops auf Servern macht das Szenario ziemlich unattraktiv.
Aber, im Zuge dieser neuen Bedrohung kann es nicht schaden auch für Linux-Desktopuser mal darauf hinuzweisen, dass man nicht einfach alles ausführen sollte, was einem so unter die Maus kommt.
wie die Hunde wieder bellen ;-P
Vermutlich 80-90% aller Server sind UNIX basierend – Das wäre für Sie also keine lohnenswerte Angriffsfläche?
Unabhängig davon laufen viele, viele Security Systeme (ich drücke mich jetzt extra simpel aus) ebenfalls unter unixoiden Systemen, auch hier wären Infektionen mit EFI-Bootkits sicherlich lohnenswert.
Wie kommen Sie also auf die Aussage das sich das "nicht lohnt"?
Habt ihr euch auch mal Gedanken über die Intel Management Engine (IME) gemacht?
Die läuft völlig unsichtbar parallel zum Betriebsssystem auf einer separaten CPU auf dem Mainboard.
Es ist äußerst schwierig, die Module der IME zu reduzieren. Völlig abschalten geht überhaupt nicht, weil das Mainboard dann nach 30 Minuten einen Zwangs-Shutdown durchführt. Vor allem das BUP (BringUp-Module) kann man nicht abschalten. Insgesamt sind es 4 Module, die mindestens aktiv bleiben müssen, sonst schaltet die separate ARM-CPU den PC zwangsweise ab.
Diese IME hat Vollzugriff auf alles, inklusive RAM und Netzwerk.
Der Source ist streng geheim, so dass selbst die Mainboardhersteller ihn nicht von Intel bekommen, sondern nur die fertig compilierten Blobs einbauen dürfen.
Das UEFI kann gefährliches Eigenleben entwickeln, weil nicht verifiziert werden kann, welcher Code in den Modulen steckt. Auch in diesem Fall bekommen selbst die Mainboardhersteller nur fertige Blobs, aber keinen Quellcode.
Google hat mal wirklich Druck gemacht, um an den Quellcode der IME- und UEFI-Module zu kommen, ist aber gescheitert.
Alles Top Secret.
Da muss man sich schon fragen, was da eigentlich für ominöser Code läuft.
Google hat dann das UEFI und die IME gehackt und so viel Code wie nur möglich rausgeworfen und bootet die eigene Serverhardware dann mit einem Linuxkernel (aka Coreboot) anstatt UEFI. Laut Google ist UEFI und die Intel Management Engine einfach zu komplex und ein zu großes Sicherheitsrisiko, so dass sie beides eliminieren wollen, es aber noch nicht gänzlich geschafft haben. Vor allem das BUP-Module kriegen sie nicht weg, weil das irgendwie verdongelt ist (mit der Haupt-CPU).
Wenn man sich da mal in die Details einarbeitet, was da so völlig unsichtbar unter der Haube nebenher läuft, kann einem Angst und Bange werden. Laut Google laufen noch mindestens 2 Kernel unkontrollierbar zusätzlich zum eigentlichen Betriebssystem und die Implementierer dieser Hidden-OS weigern sich strikt und kategorisch, Infos darüber herauszurücken. Den allermeisten Usern ist gar nicht bewusst, dass die Intel Management Engine und das UEFI eigene Betriebssysteme sind, die auch dann weiter laufen, wenn anschließend zum Beispiel Windows gebootet wird.
Russische Hacker haben ein Bit zur Aktivierung der "High Assurance Platform (HAP)" gefunden und Intel hat dann nachträglich diese Existenz und Funktion bestätigt. Es ist technisch möglich Daten vom PC zu klauen und übers Netzwerk zu verschicken, ohne dass das Windows-Betriebssystem und darauf laufende Sicherheitssoftware davon auch nur das geringste bemerkt. Nichtmal die CPU wird belastet, da ja diese versteckten Funktionen auf der zusätzlichen ARM-CPU auf dem Mainboard ablaufen.
Es ist also dank Intel Management Engine mittlerweile unerheblich, ob man durch Windows 10 die Kontrolle über den eigenen PC verloren hat, denn man hat sie sowieso an IME, Intel und NSA abgegeben. Jeder moderne PC lässt sich fernsteuern und anzapfen, völlig im Verborgenen an Haupt-CPU und Haupt-OS vorbei. Das muss man erstmal kapieren und verdauen.
Man könnte es für eine Verschwörungstheorie halten, aber die Vorarbeit der IME- und UEFI-Hacker und die darauf aufbauende Analyse von Google hat viele Details herausgearbeitet, die nicht mehr zu ignorieren sind.
Quellen im Folgebeitrag.
Auch mein Kenntnis- und Unruhestand. Für den Durchschnittsbürger wie mich ist es vermutlich unerheblich, aber dass die Keys nur bei den amerikanischen Diensten liegen, ist aus Staatsräson absolut desaströs.
Quellen für meinen vorherigen Beitrag:
osseu17. sched. com/event/ByYt/replace-your-exploit-ridden-firmware-with-linux-ronald-minnich-google
schd. ws/hosted_files/osseu17/84/Replace%20UEFI%20with%20Linux.pdf
youtube. com/watch?v=iffTJ1vPCSo
blog. ptsecurity. com/2017/08/disabling-intel-me.html
github. com/corna/me_cleaner
github. com/ptresearch/unME11
Haben Sie den "vorheriger Beitrag" vergessen oder hängt der noch in der Moderation?
Der ist noch in der Moderation.
Den Grund kenne ich nicht, eventuell wegen der Länge.
Passiert mir aber öfter.
Das hört sich für mich alles doch ein bisschen Verschwörungstheorie an… Aber dann nehme ich doch einfach ein AMD basiertes System und schwupps hab ich keine Intel Management Engine…
Gott sei Dank ist AMD PSP völlig harmlos!
Danke, das wusste ich nicht! Alles für unsere Sicherheit, sicherlich…
Ich habe gesehen, dass auch heise eine FAQ dazu hat (aus 2018):
heise. de/select/ct/2018/6/1520827829694087
"Mind the gap" in der URL ;D
In Win(10) mounte ich per Batch vor dem Shutdown/Hibernate die EFI-Partition und prüfe die Hashwerte der Dateien (Abbruch des S/H, wenn geändert).
Ist das sinnlos/naiv (schützt nicht) und wenn ja, warum?
Oder wäre das, wenn sinnvoll, auch eine Idee auch für andere OS?
Für mich als Nicht-Experten klingt das sinnvoll, wirft aber eine Frage auf: Sollte Secure Boot nicht genau vor so einer Manipulation schützen, d.h. die geschilderte Überprüfung unnötig machen? Gilt das nicht mehr oder wurde ausgehebelt?
Ergänzung: Ich habe im verlinkten Original-Artikel die Antwort gefunden:
"Bootkitty is signed by a self-signed certificate, thus is not capable of running on systems with UEFI Secure Boot enabled unless the attackers certificates have been installed."
wenn du ein root Kit auf dem Rechner hast, wird dieses dir die originalen Dateien liefern.
für deinen Batch scheint alles in Ordnung zu sein.
Wenn Du jemals ein root Kit auf deinen Rechner hattest, weißt du wie mühsam es ist dessen Existenz n ohne zusätzliche Hardware zu erkennen.
ime ist in der Position in der ein root Kit wäre.
einen friedlichen Advent
Trifft das denn auf ein Bootkit zu, werden solche Funktionen nicht erst mit dem nächsten Boot geladen?
Das was in der EFI-Partition liegt, passiert erst nach dem was im UEFI-ROM gespeichert und ausgeführt wird. Die Prüfung ist also eher für die Katz.
Das ist klar.
Nach meiner Interpretation nistet sich so ein Stiefelkätzchen aber nicht im UEFI-ROM ein, sondern eben in der EFI-Partition.
Bitte gerne korrigieren, wenn falsch.
Soso, ihr benutzt Linux und seit sicher…
https://www.welivesecurity.com/en/eset-research/unveiling-wolfsbane-gelsemiums-linux-counterpart-to-gelsevirine/
Glaubt ihr.