更新：11月28日，加州时间下午3:20

文章标题已更改，更新内容如下：此次威胁并非UEFI固件植入或rootkit，而是针对引导加载程序的UEFI bootkit。ESET分析的Bootkitty样本并非无法清除。以下是删除了不准确细节的文章。

安全公司ESET发现首个针对Linux的UEFI bootkit

ESET研究人员周三表示，他们发现了首个针对Linux的UEFI bootkit。这一发现可能预示着近年来针对Windows系统的UEFI bootkit可能会很快开始针对Linux系统。

Bootkitty：Linux bootkit的初步分析

Bootkitty是未知威胁行为者为其Linux bootkit命名的名称，本月早些时候被上传到VirusTotal。与许多Windows UEFI bootkit相比，Bootkitty仍相对初级，关键功能存在缺陷，且无法感染除Ubuntu之外的所有Linux发行版。这使得ESET研究人员怀疑该bootkit可能是一个概念验证版本。迄今为止，ESET尚未发现实际感染证据。

Bootkitty的执行流程

Bootkitty的执行流程包括以下几个关键部分：

1. 执行bootkit并修补合法的GRUB引导加载程序。
2. 修补Linux内核的EFI stub加载程序。
3. 修补解压后的Linux内核镜像。

Bootkitty的缺陷与局限性

尽管Bootkitty在部分Ubuntu版本上运行，但其在关键功能上存在缺陷和局限性，限制了其在更多机器上的运行。例如，bootkit在修改解压后的Linux内核时存在问题，可能导致系统崩溃而非被攻陷。

Secure Boot的限制

Bootkitty无法绕过UEFI Secure Boot防御机制，这限制了其感染机会。Secure Boot通过加密签名确保启动期间加载的每个软件都受计算机制造商信任。当Secure Boot启用时，如果链中的任何固件链接未被识别，设备将无法启动。

Bootkitty的发现意义

尽管Bootkitty目前不构成实际威胁，但其发现表明有人（可能是恶意威胁行为者）正在投入资源和技术来创建针对Linux的UEFI bootkit。目前，检测引导程序被攻陷的方法有限，未来对这类防御的需求可能会增加。

总结

Bootkitty的出现标志着UEFI威胁领域的一个有趣进展，打破了现代UEFI bootkit仅针对Windows的信念。尽管当前版本对大多数Linux系统不构成实际威胁，但它强调了为潜在未来威胁做好准备的必要性。