Pojavio se nov sofisticirani alat za izbjegavanje nadzora na Linuxu nazvan RingReaper, koji iskorištava legitimnu kernel funkciju io_uring kako bi zaobišao moderne sustave za detekciju i odgovor na krajnjim točkama (EDR). Ovaj napredni alat za crvene timove demonstrira kako napadači mogu eksploatisati brze asinkrone I/O operacije za izvođenje prikrivenih aktivnosti, a da ostanu neotkriveni od strane tradicionalnih mehanizama sigurnosnog nadzora.
Ranije je raspravljano o sigurnosnom propustu u Linux io_uringu koji omogućava napadačima prikriveno postavljanje rootkita, a ista se ranjivost sada koristi novim alatom za učinkovito izbjegavanje EDR sustava.
Ključne informacije:
RingReaper koristi Linux kernel značajku io_uring za zaobilaženje EDR sustava putem asinkronog I/O, umjesto tradicionalnih sistemskih poziva.
Provodi mrežne komunikacije i operacije s datotekama s minimalnim nadzornim događajima, postižući potpunu neotkrivenost.
Trenutačna EDR rješenja ne uspijevaju jer nadziru standardne sistemske pozive, a ne io_uring operacije.
Sigurnosni timovi moraju implementirati nadzor specifičan za io_uring prije nego što ova tehnika postane široko rasprostranjena.
Tehnika izbjegavanja putem io_uringa:
RingReaper predstavlja značajan napredak u tehnikama izbjegavanja na Linuxu, koristeći io_uring, kernel značajku uveden u Linuxu 5.1 za brze asinkrone I/O operacije. Za razliku od tradicionalnih pristupa koji se oslanjaju na izravne sistemske pozive, ovaj alat djeluje putem redova za slanje i dovršavanje, čime učinkovito zaobilazi mehanizme detekcije temeljene na sistemskim pozivima koje većina EDR rješenja nadzire.
Prema izvješću MatheuZ-a, arhitektura alata usredotočena je na ključne funkcije koje pokazuju njegove mogućnosti izbjegavanja. Funkcija `send_all` primjer je ovog pristupa:
Ova funkcija demonstrira kako se mrežne komunikacije odvijaju putem io_uring operacija umjesto tradicionalnih `send`/`recv` sistemskih poziva, čineći detekciju značajno težom.
RingReaper uključuje sofisticirane post-eksploatacijske mogućnosti, uključujući operacije s datotekama, nabrajanje procesa i otkrivanje korisnika. Funkcija `cmd_privesc` alata prikazuje njegovu sposobnost identificiranja SUID binarnih datoteka za eskalaciju privilegija:
Učinkovitost alata proizlazi iz oslanjanja EDR sustava na nadzor tradicionalnih sistemskih poziva kao što su `open`, `connect`, `read` i `write`. Korištenjem io_uringovog modela za obradu skupnih asinkronih podataka, RingReaper generira znatno manje nadzornih događaja, čineći ga “Potpuno Nedetektiranim” (FUD) za trenutačna EDR rješenja.
Sigurnosni istraživači upozoravaju da ova tehnika predstavlja promjenu paradigme u razvoju Linux malvera. Sposobnost alata da vrši eksfiltraciju podataka, pristupa osjetljivim datotekama i izvršava naredbe, a da ostane nedetekiran, naglašava kritične praznine u postojećim pristupima sigurnosnog nadzora.
Branitelji se moraju prilagoditi implementacijom mogućnosti nadzora specifičnih za io_uring, potencijalno putem eBPF instrumentacije `io_uring_enter` sistemskih poziva i internih kernel operacija. Kako ova tehnika stječe popularnost među naprednim prijetnjama, sigurnosni timovi trebaju dati prioritet razvoju mehanizama za detekciju tehnika izbjegavanja temeljenih na io_uringu prije nego što postanu mainstream u krajoliku Linux malvera.
