The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код в загружаемое ядро Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код в загружаемое ядро Linux"  +/
Сообщение от opennews (??), 30-Ноя-24, 23:13 
Исследователи из компании ESET выявили новый буткит "Bootkitty", устанавливаемый  после взлома системы вместо загрузчика GRUB и применяемый для подстановки в ядро Linux вредоносных компонентов, которые затем позволяют атакующему скрыто контролировать систему и выполнять в ней свои действия. Утверждается, что это первый  UEFI-буткит, нацеленный на поражение систем Linux...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62321

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +10 +/
Сообщение от Аноним (1), 30-Ноя-24, 23:13 
Shim и его последствия, которых пришлось подождать.
Ответить | Правка | Наверх | Cообщить модератору

5. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +3 +/
Сообщение от Аноним (5), 30-Ноя-24, 23:32 
100%. Вместо внятной документации по описанию работы secure boot и утилит по рулению ключами, например, люди получили черный ящик, который как-то работает. Производители железа вот прямо с этого места (как-то работает) умыли руки. Гора родила shim, чтобы хоть как-то прокыстылять положение дел, но сильно понятней, как устроен SB не стало, и тоже умыли руки.
Ответить | Правка | Наверх | Cообщить модератору

16. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +4 +/
Сообщение от Семен (??), 01-Дек-24, 01:13 
SB как раз работает очень даже понятно, так же UEFI. Есть всем доступная и понятная документация и спецификация. Все ровно так же как в интернете работает SSL или TLS, есть корневой сертификат - центра доверия - сертификат Microsoft, им подписываются вендор сертификаты, у каждого производителя оборудования они так же могут быть свои и они вшиты в прошивку или в чип с защитой от стирания и перезаписи, таким образом все другие сертификаты подписанные этими сертификатами могут быть легко проверены по открытой подписи корневого сертификата. Но такие закрытые ключи никто не дает, но дают открытый. Таким образом все бинарники подписанные этими сертификатами проходят sb политику безопасности и легко проверяются, подпись и контрольные суммы не возможно подделать. Так же работает любая цифровая подпись https://www.gnupg.org/gph/en/manual/x135.html

Собственно некоторые вендоры позволяют ставить самоподписанные сертификаты, которые хранятся в TPM, но их можно установить только через бинарник подписанный корневым сертификатом. Как я знаю загрузчик просто передает управления shim, который производит дальнейшную проверку SB, потому что собственно сама прошика не знает как проверить подписи у разных типов файлов, и какие там смещения в файлах, а дальше он передает управление grub и ядру подписанными самоподписанными сертификатами или вендор ключами, теперь они становятся центрами доверия и ядро может проверять свои модули, вроде как RedHat все же дали в какой-то момент свой вендор ключ. Отсюда лучше иметь SB чем его не иметь, вы так пишете будь-то при MBR не было буткитов, было и не мало, и установить их было намного проще. Проблема заключается в другом, что в современном компьютере при включении запускается с десяток чипов-устройств, у которых свои прошики, которые напоминают операционную систему и имеют свободный доступ к системным шинам, отсюда там могут быть и бекдоры и уйзвимости, которые можно использовать. И это кстати не байки для параноиков, это реальность(посмотрите видео от инженеров по устройству компьютеров), что почти каждое устройство имеет свою микро операционную систему и свободный доступ к подключенным шинам.

Ответить | Правка | Наверх | Cообщить модератору

2. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  –3 +/
Сообщение от Аноним (2), 30-Ноя-24, 23:14 
И таких подстав ещё цать. Открытый исходный код... Присылайте ваши пулл-реквесты!
Ответить | Правка | Наверх | Cообщить модератору

3. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +1 +/
Сообщение от Аноним (3), 30-Ноя-24, 23:24 
https://www.microsoft.com/ru-ru/security/
Ответить | Правка | Наверх | Cообщить модератору

24. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  –2 +/
Сообщение от Bottle (?), 01-Дек-24, 01:55 
Вообще, проблема безопасности системная, начиная с железа.
Пока не решат проблему на аппаратном уровне, править программные ошибки смысла мало.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

28. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  –1 +/
Сообщение от Алиса порвалась (?), 01-Дек-24, 02:17 
Давно уже понятно что оупенсорц это рак и код должен быть мксимум открыт для изучения ни никак не для форков и последующего навара бабла на этом. Вообще форки нужно приравнять к воровству (фактически назовите почему это не воровство).
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +3 +/
Сообщение от Oe (?), 30-Ноя-24, 23:35 
Переполнение в декодере bmp ахахахаха, там код "декодера" две с половиной строки, даж на ламповом компьютере запустится.
Ответить | Правка | Наверх | Cообщить модератору

18. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +1 +/
Сообщение от Семен (??), 01-Дек-24, 01:18 
Кстати да, формат нереально простой, как они так могли обосраться. Может специально был бекдор? Мне что-то верится с трудом, что в коде в пару сотен строк, в которым пару десятков строк нужны для декодирования можно так ошибиться и не заметить переполнение.
Ответить | Правка | Наверх | Cообщить модератору

30. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +1 +/
Сообщение от Аноним (30), 01-Дек-24, 02:47 
> как они так могли обосраться

Ты не поверишь, взяв опенсорсную либу. Думали там тысячи глаз, но не знали, что все шоколадные. А других бесплатных кодеров у нас для вас нет.

Ответить | Правка | Наверх | Cообщить модератору

8. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  –1 +/
Сообщение от Oe (?), 30-Ноя-24, 23:41 
А чо в конце 2024 адреса функций всё еще не рандомизируются при каждой компиляции и двадцать лет лежат по статичным адресам?
'затем скрывает себя в списке модулей ядра'
А чо модуль ядра может сам себя скрыть? У вас все равно 99% тормозов в  юзерспейсе, неужели нельзя модули в контейнерах запускать? Ах, обратная совместимость, нельзя ломать.
Ответить | Правка | Наверх | Cообщить модератору

9. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +2 +/
Сообщение от Aliech (ok), 01-Дек-24, 00:00 
Дорогой Анон, а просвети как, как это модуль ядра запустить в контейнере? Каком контейнере?
Ответить | Правка | Наверх | Cообщить модератору

10. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (10), 01-Дек-24, 00:07 
Создаёшь докер в докере. Пишешь код модуля, для наглядности используй javascript, да и нода тоже пригодится, инструмент ведь универсальный. А потом запускаешь. Понял?
Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором  –1 +/
Сообщение от Аноним (14), 01-Дек-24, 00:48 
Ответить | Правка | Наверх | Cообщить модератору

26. Скрыто модератором  +/
Сообщение от Аноним (2), 01-Дек-24, 02:00 
Ответить | Правка | Наверх | Cообщить модератору

32. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Анонимemail (32), 01-Дек-24, 03:05 
Какой бред.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

43. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (2), 01-Дек-24, 03:57 
Ты тоже помогай, без тебя не справятся.
Ответить | Правка | Наверх | Cообщить модератору

15. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от sysrise (ok), 01-Дек-24, 00:57 
Видимо 20 футовом ;)
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

19. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +1 +/
Сообщение от Oe (?), 01-Дек-24, 01:33 
Берешь и запускаешь. Не запускается, значит переписываешь ядро и модуль пока не начнет запускаться.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

21. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (21), 01-Дек-24, 01:44 
>А чо модуль ядра может сам себя скрыть?

А то как же! Ядерный код же!
>У вас все равно 99% тормозов в  юзерспейсе, неужели нельзя модули в контейнерах запускать?

Молодёжь переизобретает микроядро же!
>Ах, обратная совместимость, нельзя ломать.

Это последсвия потери идей миникса же! Таненбаум предупреждал же!

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

33. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +1 +/
Сообщение от Анонимemail (32), 01-Дек-24, 03:08 
Minix - продукт академического подхода. Linux - нахрап от безграмотного финского студента. Мир не устроила медлительность разработки Hurd, дороговизна Unix, в иных случаях Linux не вылез бы дальше кружка энтузиастов.
Ответить | Правка | Наверх | Cообщить модератору

47. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (47), 01-Дек-24, 05:13 
И кого это теперь волнует? Что свершилось, уже свершилось и надо как-то жить с этим. Миникс с хурдом на помойке истории. Точка.
Ответить | Правка | Наверх | Cообщить модератору

11. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от dannyD (?), 01-Дек-24, 00:17 
мдя.... где-то я уже это читал... да дня назад

https://servernews.ru/1114723

Ответить | Правка | Наверх | Cообщить модератору

17. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +1 +/
Сообщение от Аноним (17), 01-Дек-24, 01:13 
Линухс - не менее дырявая поделка чем Винда?) То о чем красноглазых предупреждали.
Ответить | Правка | Наверх | Cообщить модератору

20. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  –1 +/
Сообщение от Oe (?), 01-Дек-24, 01:35 
Знаменитый на весь мир ведроид 4.2.2, который заражался от входящего sms когда о уязвимостях в линухе еще даже не начинали говорить.
Ответить | Правка | Наверх | Cообщить модератору

35. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Анонимemail (32), 01-Дек-24, 03:12 
Где-то зачесалось или как иначе объяснить этот неуместный комментарий?
Ответить | Правка | Наверх | Cообщить модератору

38. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (38), 01-Дек-24, 03:14 
Во-первых не СМС, а ММС. В СМС нельзя вставить видео. Во-вторых, не только СМС, а вообще любое открытие специального mp4 файла, если через систему пропускается. Хоть по почте, хоть в браузере, хоть при генерации миниатюры в файловом менеджере.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

44. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (44), 01-Дек-24, 04:29 
Что на счёт айфонов взамываемых отправкой сообщения в iMessage жертве?
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

27. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +3 +/
Сообщение от Алиса порвалась (?), 01-Дек-24, 02:15 
Вирусы на венде давно ушли в прошлое вместе с win xp sp2. Вообще лет 10 точно не слышала чтобы кто-то подхватывал вирус.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

34. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  –2 +/
Сообщение от Анонимemail (32), 01-Дек-24, 03:10 
Видимо причина кроется в том, что Вы - женщина.
Ответить | Правка | Наверх | Cообщить модератору

42. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +1 +/
Сообщение от Аноним (47), 01-Дек-24, 03:49 
А в чем она не права (по существу)?
Вири действительно давно ушли в прошлое (в своем массовом виде, как во времена XP).
Ответить | Правка | Наверх | Cообщить модератору

48. Скрыто модератором  +/
Сообщение от Аноним (-), 01-Дек-24, 05:29 
Ответить | Правка | Наверх | Cообщить модератору

49. Скрыто модератором  +/
Сообщение от Аноним (-), 01-Дек-24, 05:30 
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

22. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от мявemail (?), 01-Дек-24, 01:46 
новости-то уже недели две. скукота.
>продолжают работать с уязвимыми версиями прошивок.

так лого заверено ключем при использовании uki+sb.
проблем не вижу.

Ответить | Правка | Наверх | Cообщить модератору

23. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от мявemail (?), 01-Дек-24, 01:54 
и да, все равно массовое заражение будет для атакующего болью - в федоре, вон, уже на uki перешли и MOK выкинули
зы. про выкидывание не уверена, но если не выкинули - странно.. тогда переход смысла лишается.
Ответить | Правка | Наверх | Cообщить модератору

25. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от мявemail (?), 01-Дек-24, 01:59 
>Библиотека injector.so перехватывает некоторые операции SELinux и функцию init_module

каким образом буткит собрался что-то в /boot вытанцовывать с включенным selinux перед перезагрузкой - тоже не совсем ясно.
редхатовская политика левым процессам не дает в boot_t писать.

Ответить | Правка | Наверх | Cообщить модератору

39. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +1 +/
Сообщение от Семен (??), 01-Дек-24, 03:18 
Все гениальное просто: setenforce 0
Во всех redhat подобных дистрибутивах можно отключить selinux, запрет на изменения прописываются в конфиге ядра при сборке, думаю они не отключают эту функцию, на случай траблшутинга и запуска релайбла у малограмотных юзеров. 99% пользователей не знают, как им пользоваться и как разрабатывать свои политики, если их софт чудесным образом не запускается. Вы не поверите, но в очень большом количество туторов для редхат, центоса, и федоры первым делом отключают selinux. Классический пример, на котором 99% пользователей затыкаются, что при создании директории вебсервера и запуска вебсервера, вебсервер ваш шлет на 3 буквы из-за selinux и люди не могут прописать нужные контексты.

Ответить | Правка | Наверх | Cообщить модератору

29. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (29), 01-Дек-24, 02:43 
Сделали бы защищённое хранилище для загрузчиков и доступ к нему по одноразовому коду, показывать код на отдельном экране - вспотеешь загрузчик подменять вредоносами. А сейчас какой-то недосекурибут который кроме тивоизации ничего не даёт.
Ответить | Правка | Наверх | Cообщить модератору

31. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (38), 01-Дек-24, 03:03 
По отпечатку пальца после уплаты $0.1 через СМС в качестве Proof-of-Work (у кого нет работы чтобы заработать на уплаты Proof-of-Work - может проследовать на свалку к бомжам).
Ответить | Правка | Наверх | Cообщить модератору

36. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  –1 +/
Сообщение от Аноним (29), 01-Дек-24, 03:12 
> По отпечатку пальца

биометрия для слабоумных

Ответить | Правка | Наверх | Cообщить модератору

41. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (38), 01-Дек-24, 03:36 
Не волнуйся, тебя это не касается, ты у нас умный, по городу не ходишь, чтобы ни на одну камеру не попасть. И видимо в РФ живёшь, потому что в других государствах гражданин обязан сдать биометрию. А кто не сдаст - у того принудительно возьмут. Ещё и ватной палочкой щёку внутри рта протрут. А не протрут - протрут у родственника. Причём может вообще без законного повода, просто ну улице человек в форме подойдёт и попросит, а он выполнит - ведь иначе его разрешено задержать на целых несколько часов. Да даже если и не разрешено - как отказать-то представителю хозяина? А в некоторых государствах вообще у всех задерживаемых разрешено брать, вне зависимости от того, по беспределу просто так задержали мимокрокодила, или за то что он подозрительно выглядящий баскетболист. В некоторых прибалтийских вообще у значительной части собрали, за смехотворную оплату - "для научных исследований". При этом новоэмигранты туда радостно распинаются о том, как они доверяют новому хозяину и как они любят там ВСЁ. Лишь бы шансы снизить как пушечное ядро вылететь обратно. Которые и так нехилые.
Ответить | Правка | Наверх | Cообщить модератору

45. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (47), 01-Дек-24, 04:49 
Маску на морду и в путь. Я теперь только так и передвигаюсь со времен 2020 года. Защита от камер 100%-я. Одеть намордник при выходе за порог квартиры уже как рефлекс.
Ответить | Правка | Наверх | Cообщить модератору

46. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (29), 01-Дек-24, 04:50 
> А кто не сдаст - у того принудительно возьмут.

сказки про людоедов не интересуют, пароль генерирует само устройство чтобы определить что хранилище разблокирует не вредоносный код.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

37. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Анонимemail (32), 01-Дек-24, 03:14 
Уже же есть такое - вынос загрузчика на флеш.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

40. "Выявлен UEFI-буткит Bootkitty, подставляющий вредоносный код..."  +/
Сообщение от Аноним (29), 01-Дек-24, 03:29 
> вынос загрузчика на флеш

непрактично как все прочие внешние накопители

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру