Un તાજેતરની શોધે સાયબર સુરક્ષા દ્રશ્યને હલાવી દીધું છે: સંશોધકોએ પ્રથમ UEFI બુટકીટ ઓળખી છે જે ખાસ કરીને Linux સિસ્ટમ માટે રચાયેલ છે, જેને કહેવાય છે બુટકીટી તેના સર્જકો દ્વારા. આ શોધ UEFI જોખમોમાં નોંધપાત્ર ઉત્ક્રાંતિને ચિહ્નિત કરે છે, જે ઐતિહાસિક રીતે વિન્ડોઝ સિસ્ટમ્સ પર લગભગ વિશેષ ધ્યાન કેન્દ્રિત કરે છે. જોકે માલવેર પ્રૂફ-ઓફ-કન્સેપ્ટ તબક્કામાં હોવાનું જણાય છે, તેનું અસ્તિત્વ ભવિષ્યમાં સંભવિત વધુ અત્યાધુનિક જોખમોના દરવાજા ખોલે છે.
તાજેતરના વર્ષોમાં, UEFI ધમકીઓમાં નોંધપાત્ર પ્રગતિ જોવા મળી છે. 2012 માં ખ્યાલના પ્રથમ પુરાવાથી લઈને ESPecter અને BlackLotus જેવા વધુ તાજેતરના કિસ્સાઓ સુધી, સુરક્ષા સમુદાયે આ હુમલાઓની જટિલતામાં વધારો જોયો છે. જો કે, બુટકિટ્ટી એ એક મહત્વપૂર્ણ ફેરફારનું પ્રતિનિધિત્વ કરે છે, જેનું ધ્યાન Linux સિસ્ટમો પર, ખાસ કરીને ઉબુન્ટુના કેટલાક સંસ્કરણો તરફ સ્થળાંતર કરે છે.
Bootkitty ટેકનિકલ લક્ષણો
બુટકીટી તેની અદ્યતન તકનીકી ક્ષમતાઓ માટે અલગ છે. આ માલવેર જટિલ ઇન-મેમરી વેરિફિકેશન કાર્યોને પેચ કરીને UEFI સિક્યોર બૂટ સુરક્ષા મિકેનિઝમ્સને બાયપાસ કરવા માટે પદ્ધતિઓનો ઉપયોગ કરે છે. આ રીતે, તે સિક્યોર બૂટ સક્ષમ છે કે નહીં તેને ધ્યાનમાં લીધા વિના Linux કર્નલ લોડ કરવાનું સંચાલન કરે છે.
Bootkitty મુખ્ય ધ્યેય સમાવેશ થાય છે કર્નલ સહી ચકાસણી નિષ્ક્રિય કરો અને પ્રીલોડ કરો અજ્ઞાત દૂષિત ELF દ્વિસંગી પ્રક્રિયા દ્વારા Init Linux ના. જો કે, અનઓપ્ટિમાઇઝ્ડ કોડ પેટર્ન અને નિશ્ચિત ઓફસેટ્સના ઉપયોગને કારણે, તેની અસરકારકતા નાની સંખ્યામાં રૂપરેખાંકનો અને કર્નલ સંસ્કરણો સુધી મર્યાદિત છે અને ગ્રુબ.
માલવેરની ખાસિયત એ તેની પ્રાયોગિક પ્રકૃતિ છે: તૂટેલા કાર્યો સમાવે છે જે આંતરિક પરીક્ષણ અથવા ડેમો માટે બનાવાયેલ હોય તેવું લાગે છે. આ, તેની સાથે મળીને સંચાલન કરવામાં અસમર્થતા બૉક્સની બહાર સિક્યોર બૂટ સક્રિય કરેલ સિસ્ટમો પર, સૂચવે છે કે તે હજુ વિકાસના પ્રારંભિક તબક્કામાં છે.
મોડ્યુલર અભિગમ અને અન્ય ઘટકો સાથે સંભવિત લિંક્સ
તેમના વિશ્લેષણ દરમિયાન, સંશોધકો ESET તેઓએ બીસીડ્રોપર નામના સહી વગરના કર્નલ મોડ્યુલને પણ ઓળખી કાઢ્યું હતું, જે સંભવિત રૂપે સમાન બુટકીટી લેખકો દ્વારા વિકસાવવામાં આવ્યું હતું. આ મોડ્યુલમાં અદ્યતન સુવિધાઓ શામેલ છે જેમ કે ખુલ્લી ફાઇલો, પ્રક્રિયાઓ અને પોર્ટ્સને છુપાવવાની ક્ષમતા, રૂટકીટની લાક્ષણિક લાક્ષણિકતાઓ.
બીસીડ્રોપર તે BCObserver તરીકે ઓળખાતી ELF બાઈનરી પણ જમાવે છે, જે અન્ય હજુ સુધી અજાણ્યા કર્નલ મોડ્યુલને લોડ કરે છે. જો કે આ ઘટકો અને બૂટકિટ્ટી વચ્ચેના સીધો સંબંધની પુષ્ટિ કરવામાં આવી નથી, તેમ છતાં તેમના નામ અને વર્તન જોડાણ સૂચવે છે.
બુટકીટી અસર અને નિવારક પગલાં
ભલે બુટકીટી હજુ સુધી વાસ્તવિક ખતરો નથી મોટાભાગની Linux સિસ્ટમો માટે, તેનું અસ્તિત્વ ભવિષ્યના સંભવિત જોખમો માટે તૈયાર રહેવાની જરૂરિયાત પર ભાર મૂકે છે. Bootkitty સાથે સંકળાયેલા જોડાણના સૂચકાંકોમાં નીચેનાનો સમાવેશ થાય છે:
- કર્નલમાં સંશોધિત સ્ટ્રિંગ્સ: આદેશ સાથે દૃશ્યમાન
uname -v
. - ચલની હાજરી
LD_PRELOAD
આર્કાઇવમાં/proc/1/environ
. - સહી વગરના કર્નલ મોડ્યુલો લોડ કરવાની ક્ષમતા: સિક્યોર બૂટ સક્રિય કરેલ સિસ્ટમો પર પણ.
- કર્નલ "દૂષિત" તરીકે ચિહ્નિત થયેલ છે, જે સંભવિત છેડછાડ સૂચવે છે.
આ પ્રકારના માલવેર દ્વારા ઊભા થતા જોખમને ઘટાડવા માટે, નિષ્ણાતો UEFI સિક્યોર બૂટને સક્ષમ રાખવાની તેમજ ફર્મવેર, ઑપરેટિંગ સિસ્ટમ અને UEFI રિવોકેશન લિસ્ટની ખાતરી કરવા ભલામણ કરે છે. અપડેટ કર્યું.
UEFI ધમકીઓમાં દાખલો બદલાયો
Bootkitty માત્ર વિન્ડોઝ માટે UEFI બુટકિટ્સ વિશિષ્ટ છે તેવી ધારણાને પડકારે છે, પણ હાઇલાઇટ કરે છે Linux-આધારિત સિસ્ટમો તરફ સાયબર અપરાધીઓનું ધ્યાન વધી રહ્યું છે. જો કે તે હજુ પણ વિકાસના તબક્કામાં છે, પરંતુ તેનો દેખાવ આ પ્રકારના વાતાવરણમાં સુરક્ષાને બહેતર બનાવવા માટે જાગૃતિનો કોલ છે.
આ શોધ સક્રિય દેખરેખ અને અમલીકરણની જરૂરિયાતને મજબૂત બનાવે છે અદ્યતન સુરક્ષા પગલાં સંભવિત જોખમોને ઘટાડવા માટે કે જે ફર્મવેર અને બૂટ પ્રક્રિયા સ્તર પર નબળાઈઓનું શોષણ કરી શકે છે.