Nova sofisticirana alatka za obuhvat Linux sistema, nazvana RingReaper, sposobna je za zaobilaženje modernih sistema za detekciju i odgovor na krajnjim tačkama (EDR) iskorištavanjem legitimne funkcije kernela pod imenom io_uring. Ova napredna alatka za crveni tim demonstrira kako napadači mogu iskoristiti visokoefikasne asinhrono I/O operacije za izvođenje prikrivenih aktivnosti, a da ostanu neotkriveni tradicionalnim sigurnosnim mehanizmima nadzora. Prethodno smo govorili o sigurnosnom propustu u Linuxovom io_uring-u koji omogućava napadačima prikriveno postavljanje rootkita. Isti ovaj propust je iskorišten od strane nove alatke za efikasno izbjegavanje sistema za detekciju i odgovor na krajnjim tačkama (EDR).
Ključne tačke: RingReaper koristi funkciju Linux kernela io_uring za zaobilaženje EDR sistema putem asinhronih I/O operacija umjesto uobičajenih sistemskih poziva. Alatka vrši mrežne komunikacije i operacije nad datotekama sa minimalnim nadzornim događajima, čime postiže potpunu neprimjetnost. Trenutna EDR rješenja ne uspijevaju u detekciji jer nadziru standardne sistemske pozive, a ne io_uring operacije. Sigurnosni timovi moraju implementirati nadzor specifičan za io_uring prije nego što ova tehnika postane široko rasprostranjena.
Tehnika zaobilaženja putem io_uring: RingReaper predstavlja značajan napredak u tehnikama obuhvata baziranim na Linuxu, koristeći io_uring, funkciju kernela uveden u Linux 5.1, dizajniranu za visokoefikasne asinhrono I/O operacije. Za razliku od tradicionalnih pristupa koji se oslanjaju na direktne sistemske pozive, ova alatka radi putem prstenova za slanje i dovršavanje, efikasno zaobilazeći mehanizme detekcije bazirane na sistemskim pozivima koje nadzire većina EDR rješenja. Prema izvještaju MatheuZ-a, arhitektura alatke usredsređena je na ključne funkcije koje pokazuju njene mogućnosti obuhvata. Funkcija send_all služi kao primjer ovog pristupa. Ova funkcija demonstrira kako se mrežne komunikacije odvijaju putem io_uring operacija umjesto tradicionalnih send/recv sistemskih poziva, čineći detekciju značajno težom. RingReaper uključuje sofisticirane mogućnosti nakon eksploatacije, uključujući operacije nad datotekama, nabrajanje procesa i otkrivanje korisnika. Funkcija cmd_privesc alatke pokazuje njenu sposobnost da identifikuje SUID binarne datoteke za eskalaciju privilegija. Efikasnost alatke proizlazi iz toga što se EDR sistemi oslanjaju na nadzor tradicionalnih sistemskih poziva kao što su open, connect, read i write. Korištenjem modela asinhronog grupnog procesiranja io_uring-a, RingReaper generira znatno manje nadzornih događaja, čineći ga “potpuno neotkrivenim” (FUD) za trenutna EDR rješenja.
Sigurnosni istraživači upozoravaju da ova tehnika predstavlja promjenu paradigme u razvoju Linux zlonamjernog softvera. Sposobnost alatke da vrši eksfiltraciju datoteka, pristupa osjetljivim datotekama i izvršava komande, a da ostane neotkrivena, naglašava kritične praznine u trenutnim pristupima sigurnosnog nadzora. Defanzivci se moraju prilagoditi implementacijom mogućnosti nadzora specifičnih za io_uring, potencijalno putem eBPF instrumentacije io_uring_enter sistemskih poziva i internih operacija kernela. Kako ova tehnika dobija na popularnosti među naprednim prijetnjama, sigurnosni timovi bi trebali dati prioritet razvoju mehanizama detekcije za tehnike obuhvata bazirane na io_uring, prije nego što postanu široko rasprostranjene u pejzažu Linux zlonamjernog softvera.
Istražite ponašanje zlonamjernog softvera uživo, pratite svaki korak napada i donosite brže, pametnije sigurnosne odluke -> Isprobajte ANY.RUN sada.
