Bootkitty:针对Linux系统的首个UEFI启动工具包分析
ESET研究人员分析了第一个针对Linux系统设计的UEFI启动工具包Bootkitty。该启动工具包尚处于概念验证阶段,尚未在野外发现。它的主要目标是禁用内核的签名验证功能,并通过Linux init进程预加载两个ELF二进制文件。Bootkitty通过修改GRUB引导加载程序和Linux内核的EFI存根加载程序来实现此目的。研究人员还发现了一个可能相关的未签名内核模块BCDropper,它会部署一个负责加载另一个内核模块的ELF程序。尽管Bootkitty目前仅支持有限数量的系统,但它的存在凸显了UEFI启动工具包不再局限于Windows系统这一事实。
阅读更多