聲明：該文章來(lái)自（藍(lán)點(diǎn)網(wǎng)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

正常情況下 Windows PC 上的安全軟件可以在檢測(cè)到惡意軟件后執(zhí)行查殺，為了避免被查殺部分惡意軟件針對(duì) UEFI 展開攻擊，這樣即便在重啟系統(tǒng)后惡意軟件依然可以持久化運(yùn)行。

不過(guò)大多數(shù)針對(duì) UEFI 的惡意軟件都是針對(duì) Windows PC 的，至少在此前還沒(méi)有看到針對(duì) Linux 系統(tǒng)的 UEFI 惡意軟件，但這種情況現(xiàn)在發(fā)生了變化。

安全軟件開發(fā)商 ESET 在檢查 2024 年 11 月上傳到 VirusTotal 掃描網(wǎng)站的可疑文件 bootkit.efi 時(shí)發(fā)現(xiàn)了 BootKitty，這個(gè) rootkit 僅針對(duì) Linux UEFI。

經(jīng)過(guò)分析 ESET 確認(rèn)這是 LinuxUEFI 啟動(dòng)工具包首次繞過(guò)內(nèi)核簽名驗(yàn)證并在系統(tǒng)啟動(dòng)過(guò)程中加載惡意組件的案例，不過(guò)開發(fā) BootKitty 的黑客目前也僅在測(cè)試。

實(shí)際測(cè)試安全公司發(fā)現(xiàn) BootKitty 只能在某些特定版本的 Ubuntu 和配置上使用，因此這并不能對(duì)大多數(shù) Linux 系統(tǒng)造成威脅，但后續(xù)黑客肯定也會(huì)繼續(xù)進(jìn)行完善。

當(dāng)然 BootKitty 目前使用的是自簽名，因此如果已經(jīng)啟用了安全啟動(dòng)功能則自簽名無(wú)法通過(guò)驗(yàn)證因此 BootKitty 也無(wú)法運(yùn)行，或許還因?yàn)闇y(cè)試階段開發(fā)不完善，ESET 在測(cè)試過(guò)程中發(fā)現(xiàn)這個(gè) rootkit 經(jīng)常導(dǎo)致 Linux 系統(tǒng)崩潰。

盡管就目前來(lái)說(shuō) BootKitty 不會(huì)在現(xiàn)實(shí)世界中產(chǎn)生影響，但這也說(shuō)明已經(jīng)有黑客瞄準(zhǔn) Linux 系統(tǒng)，對(duì)于安全業(yè)界來(lái)說(shuō)這需要關(guān)注的情況，隨著時(shí)間的推移這種 rootkit 工具可能就會(huì)逐漸成熟，對(duì) Linux 展開廣泛攻擊。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/