Исследователи в области кибербезопасности представили proof-of-concept (PoC) rootkit под названием Curing, который использует асинхронный механизм ввода-вывода Linux, благодаря которому он обходит традиционный мониторинг системных вызовов.
По информации ARMO, это создает «серьезный слепой пятно в средствах обеспечения безопасности на платформе Linux».
«Этот механизм позволяет пользовательским приложениям выполнять множество действий, минуя системные вызовы», — пояснили в компании в отчете, предоставленном нашей редакции. «В результате средства защиты, основанные на мониторинге системных вызовов, не регистрируют rootkits, работающие исключительно на базе io_uring».
io_uring, впервые представленный в ядре Linux версии 5.1 в марте 2019 года, представляет собой интерфейс системных вызовов, использующий две кольцевые очереди — очередь подачи (SQ) и очередь завершения (CQ) — для обмена данными между ядром и пользовательским пространством в асинхронном режиме.
Созданный ARMO rootkit упрощает коммуникацию между сервером команд и управления (C2) и зараженным хостом, позволяя загружать и выполнять команды без системных вызовов, вместо этого используя io_uring для достижения тех же целей.
Анализ существующих средств защиты Linux от ARMO показал, что как Falco, так и Tetragon не реагируют на действия, основанные на io_uring, из-за их высокой зависимости от перехвата системных вызовов.
Агент Falcon от CrowdStrike, который также не распознал действия с файловой системой, выполняемые с помощью io_uring, выпустил обновление для решения этой проблемы. Однако считается, что Microsoft Defender for Endpoint на Linux не способен обнаруживать различные типы угроз, независимо от использования io_uring.
Риски безопасности, связанные с io_uring, известны уже некоторое время. В июне 2023 года Google объявила, что ограничивает использование этого интерфейса в операционных системах Android, ChromeOS и на собственных производственных серверах, так как он «предоставляет мощные возможности для эксплуатации».
«С одной стороны, необходима видимость системных вызовов; с другой — доступ к структурам ядра и достаточный контекст для эффективного обнаружения угроз», — отметил Амит Шендл, руководитель исследовательского отдела безопасности в ARMO.
«Многие разработчики выбирают самый простой путь: прямой перехват системных вызовов. Несмотря на то, что этот подход обеспечивает быструю видимость, он имеет свои ограничения. Прежде всего, глобальные вызовы не всегда гарантированы. io_uring, который может полностью их избегать, является ярким примером этого».
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru