摘要：随着更多消息披露，针对特定 Ubuntu Linux 设置的原型 UEFI 启动套件的发现愈发深入，该启动套件的创建与韩国大学项目有关，并且集成了 LogoFAIL 漏洞利用以绕过安全启动验证。

随着更多消息披露，针对特定 Ubuntu Linux 设置的原型 UEFI 启动套件的发现愈发深入，该启动套件的创建与韩国大学项目有关，并且集成了 LogoFAIL 漏洞利用以绕过安全启动验证。

bootkitty是韩国BoB（“Best of the Best”）学术计划的一个研究项目，旨在为网络安全人才提供培训。

BoB项目是韩国信息技术研究院的一部分，隶属于韩国贸易、工业和能源部组织。

ESET 在样本上传到 VirusTotal 后发现了这个 bootkit，它是由该大学的研究人员创建的，目的是展示操作系统下的真实安全风险。记者无法联系该大学发表评论。

另外，Binarly 的固件安全专家发现了Bootkitty 代码中集成的 LogoFAIL 系列漏洞，可绕过安全启动保护。

Binarly 表示，该 bootkit 利用了 CVE-2023-40238 漏洞，该漏洞与Binarly去年 12 月 最初发现的 LogoFAIL漏洞有关。

Binarly 解释说：“通过利用系统启动过程中图像解析的缺陷，攻击者开发出了一种绕过安全启动保护的复杂机制。”

具体来说，Bootkitty 使用名为logofail.bmp的操纵 BMP 文件来执行恶意 shellcode 并将恶意证书注入 UEFI 变量，从而有效地确保恶意软件在启动过程中受到信任。

Binarly 记录了该漏洞，展示了如何设计一个被篡改的 BMP 文件 (logofail.bmp) 来嵌入针对 UEFI 固件的图像解析例程的恶意 shellcode。

该公司表示，该漏洞操纵了 MokList 变量，绕过了安全启动的验证过程，并允许恶意引导加载程序不受检查地运行。

易受攻击的设备包括联想、宏碁、惠普和富士通的机型，有证据表明恶意软件原型是针对特定硬件配置量身定制的。

实验性的 UEFI bootkit 证明攻击者可以通过禁用 Linux 内核及其模块的内核签名验证，轻松将 bootkit 攻击扩展到 Windows 操作系统之外。

ESET 于 2024 年 11 月将一个以前未知的 UEFI 应用程序“bootkit.efi”上传到 VirusTotal 时首次发现了该威胁，ESET 表示，包括未使用的功能和硬编码偏移量在内的大量痕迹表明 Bootkitty 仍在开发中，并不构成活跃威胁。

多年来，UEFI 启动工具包已广泛出现，主要针对 Windows 生态系统。其中包括ESPecter、FinSpy以及最近的BlackLotus，这是第一个能够绕过最新系统上的 UEFI 安全启动的 UEFI 启动工具包。

去年 7 月，BlackLotus 的源代码在 GitHub 上公开分享，尽管与原始恶意软件相比有几处修改。该 bootkit 专为 Windows 设计，于去年 10 月出现在黑客论坛上，宣传具有 APT 级功能，例如安全启动和用户访问控制 (UAC) 绕过，以及禁用受害系统上的安全应用程序和防御机制的能力。

新闻链接：

来源：会杀毒的单反狗