Linux UEFI BootKit样本分析

文章预览

安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 2023年ESET发现了一例绕过系统安全启动的UEFI BootKit攻击样本，被将它命名为黑莲花BlackLotus，笔者第一时间对该攻击样本进行了详细的跟踪分析，发现该样本存在多种反调试和反虚拟机技巧，通过分析发现该攻击样本主要利用了CVE-2022-21894漏洞来绕过系统启动安全检测。 近日ESET又发现了一例针对Linux系统的UEFI BootKit攻击样本并将它命名为Bootkitty，ESET最初是从VT上捕获到相关样本，2024年11月一个名为bootkit.efi的未知UEFI样本被上传到VT上面，ESET随后针对该样本进行了跟踪分析并发布了报告，报告链接地址： https://www.welivesecurity.com/en/eset-research/bootkitty-analyzing-first-uefi-bootkit-linux/ 笔者参考ESET的报告对该Linux UEFI BootKit攻击样本进行了一些相关分析，分享出来供大家参考学习。 样本分析 1.bootkit.efi ………………………………