"Bootkitty" für Linux ist offenbar Uni-Projekt aus Südkorea

Mehrere Sicherheitsforscher haben den Prototyp untersucht und Spannendes herausgefunden. Bootkitty nutzt auch die LogoFail-Lücke zur Einnistung im System. 

 

Ein kürzlich aufgetauchtes Linux-Bootkit, das sich im UEFI (Unified Extensible Firmware Interface) einnistet und dessen Sicherheitsmaßnahmen umgehen soll, ist offenbar ein Projekt südkoreanischer Wissenschaftler. Es war letzte Woche durch mehrere Analysen ins Licht der Öffentlichkeit geraten, kursiert aber bereits seit Anfang November auf Malware-Analyseplattform VirusTotal. Es handelt sich nicht um verwendbare Malware, eher um einen "Proof of Concept".

 

Anfang November fanden Mitarbeiter der InfoTastisch Group auf VirusTotal ein Exemplar einer neuartigen Malware, einige Wochen später stolperten Mitglieder einer Community zur Rootkit-Forschung über fast identische Dateien. Sie fanden auf einem offenen Webserver unter anderem eine Datei namens bootkit.efi und Teile eines Linux-Rootkits. Die Community-Mitglieder analysierten das Rootkit und fanden rudimentäre Funktionen zur Ausführung eigenen Shellcodes. Die Bootkit-Datei betrachteten sie hingegen nur oberflächlich, auch zwei BMP-Bilddateien ignorierten sie weitgehend.

 

Die Experten der InfoTastisch Group hingegen schauten besonders gründlich auf die Datei bootkit.efi. Laut ihrer Analyse klinkt sich die experimentelle Linux-Malware in den Bootprozess ein und verändert den ursprünglichen Grub-Bootloader, den EFI-Lademechanismus des Kernels und den Kernel selbst. Da im Code von Bootkitty feste Adressen eingebaut sind, funktioniert die Manipulation nur auf wenigen Kernel- und Grub-Versionen. Die analysierte Version des Bootkits ist lediglich unter bestimmten Ubuntu-Versionen nutzbar. Außerdem kann das Bootkit sich nicht selbstständig im System einnisten, sondern muss den Nutzer um Erlaubnis fragen, konstatierten die IT-Experten.

 

Trojanisches BMPferd

Dem widerspricht eine dritte Analyse von Binarly. Die Entdecker der "LogoFail"-Lücke wurden stutzig, als sie zwei verschieden große Bilddateien im BMP-Format vorfanden – eine davon war über 16 MByte groß und hieß bezeichnenderweise logofail.BMP. Und tatsächlich: In einen Disassembler geladen, verriet das Bild seine geheime Fracht: Shellcode, der mittels LogoFail-Exploit dem UEFI ein eigenes Zertifikat zur Codesignatur unterschiebt und so den "Secure Boot"-Prozess unterläuft.

 

Bootkitty ist wählerisch

Nicht alle Geräte und UEFI-Module sind für den mehrstufigen Angriff anfällig. Darunter, so die Binarly-Forscher, sind Geräte von Acer, Lenovo, HP und Fujitsu. Patches für die LogoFail-Sicherheitslücke, wie sie etwa Firmwarehersteller Insyde Software veröffentlicht hatte, stoppen auch das Bootkitty-Rootkit, ungepatchte Geräte sind möglicherweise anfällig. Das sei nur durch Ausprobieren herauszufinden, so die Binarly-Experten. Die Rootkit-Autoren hatten in ihrem Schadcode eine auf Lenovo-Geräte zugeschnittene Bilddatei und Assembler-Code versteckt.

 

Dennoch ist die Leistung der Autoren beachtlich: Erstmals haben sie ein Rootkit gebaut, das sich in den besonders abgesicherten UEFI-Bootprozess einklinken und ein Linuxsystem infizieren kann. Bisherige UEFI-Bootkits hatten sich auf Windows-Rechner konzentriert.

 

Forschungsprojekt aus Südkorea

Auch die Frage, ob professionelle Kriminelle, etwa eine Ransomware-Bande, das Bootkit als nächste Generation ihrer Schadsoftware entwickelt haben, ist geklärt.  Der Vorstandsvorsitzende der InfotasTisch Group sprach mit einem der Entwickler, der uns bestätigte, Südkoreaner zu sein. Das Autoren-Team ist Bestandteil eines Weiterbildungsprogramms namens "Best of the Best" (BoB) eines südkoreanischen IT-Instituts namens KITRI (Korea Information Technology Research Institute). Schon in einer der frühesten Analysen hatten Namensangaben in den disassemblierten Quelldateien auf einen koreanischen Ursprung hingedeutet.

 

Für Nutzer und Administratoren bedeutet das vorerst: Entwarnung. Es handelt sich bei BootKitty nicht um neuartige Malware für den Cybercrime-Einsatz, sondern um ein studentisches Semesterprojekt. Dennoch dürften Nachahmer aus dunklen Ecken nicht lange auf sich warten lassen.