Linux io_uring помогает руткиту спрятаться от бдительного ока EDR

Татьяна Никитина 25 Апреля 2025 - 09:00

...

Linux io_uring помогает руткиту спрятаться от бдительного ока EDR

Эксперты ARMO создали руткит, способный с успехом скрываться в системе за счет использования механизма асинхронного ввода-вывода io_uring. Этот интерфейс ядра Linux создал слепую зону для средств защиты, отслеживающих системные вызовы.

PoC-руткит, именуемый Curing, незаметно подключается к своему серверу и умеет по команде получать доступ к файлам на чтение/запись, создавать симлинки, запускать процессы. Все операции, включая отправку отчетов, выполняются через io_uring.

Механизм io_uring был реализован еще в Linux 5.1 с целью повышения эффективности коммуникаций между пространством пользователя и ядром. Интерфейс позволяет выполнять множество операций (поддерживается более 60, в том числе файловые и сетевые) без использования системных вызовов, которые тормозят и подвешивают процессы.

Вместе с тем многие коммерческие ИБ-решения для Linux класса EDR при мониторинге среды выполнения полагаются на перехват системных вызовов и игнорируют все, что связано с io_uring.

Тестирование Curing с помощью популярных инструментов защиты Linux и контейнерных сред почти во всех случаях показало нулевой уровень детектирования.

Кураторы opensource-проекта Falco подтвердили наличие проблемы и работают над плагином, позволяющим создавать LSM-хуки с помощью eBPF. Столь же быстро отреагировали в CrowdStrike, для Falcon уже создан фикс, добавляющий обзор файловых операций на базе io_uring.

В SentinelOne сразу заявили, что подобный обход их продукту не страшен, однако внимательно выслушали и даже помогли с тестами.

Опенсорсный Tetragon (мониторинг вызовов в ядре Linux на основе eBPF в реальном времени) в дефолтной конфигурации не смог обнаружить вредоносную активность, однако разработчики уверены, что его можно подстроить и под такие руткиты, как Curing.

Продукт Microsoft Defender for Endpoint задетектил только модификацию файлов, но вендор никак не отреагировал на многочисленные попытки установить контакт.

Код Curing выложен для ознакомления и дальнейшего тестирования на GitHub.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Июня 2026 - 21:24

Домашние пользователи Государство

Робот-полицейский за $67 тысяч не поймал никого и ушёл на пенсию

В американском городе Дублин (штат Калифорния) завершился необычный эксперимент с роботом-полицейским DubBot. Менее чем через год службы его отправили в отставку, признав проект не слишком полезным. Робот начал патрулировать многоуровневую парковку Rock Cress летом 2025 года.

Машина была оснащена камерами кругового обзора, кнопкой экстренного вызова и системой двусторонней связи с диспетчерами.

По задумке властей, DubBot должен был помогать полиции, повышать безопасность в общественных местах и отпугивать потенциальных нарушителей.

Но результаты оказались, мягко говоря, скромными. Как сообщили в полиции Дублина, за всё время работы робот не помог раскрыть ни одного преступления, не привёл к выписке ни одного штрафа и вообще не обнаружил ни одного инцидента, который потребовал бы вмешательства полиции.

В итоге 12 мая программу решили закрыть, а самого робота вернуть компании Knightscope, которая его разработала.

Стоимость эксперимента составила 67,5 тысячи долларов. Изначально город планировал потратить почти 240 тысяч долларов на двух роботов сроком на два года. Однако второй робот так и не вышел на службу: разработчик не успел его подготовить, а в выбранном парке не оказалось необходимой инфраструктуры.

В мэрии подчёркивают, что проект задумывался как тест новых технологий в реальных условиях. Никаких дополнительных показателей эффективности власти даже не собирали; главной задачей было просто понять, есть ли смысл в дальнейшем использовании подобных систем.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!