Linux io_uring помогает руткиту спрятаться от бдительного ока EDR

Linux io_uring помогает руткиту спрятаться от бдительного ока EDR

Linux io_uring помогает руткиту спрятаться от бдительного ока EDR

Эксперты ARMO создали руткит, способный с успехом скрываться в системе за счет использования механизма асинхронного ввода-вывода io_uring. Этот интерфейс ядра Linux создал слепую зону для средств защиты, отслеживающих системные вызовы.

PoC-руткит, именуемый Curing, незаметно подключается к своему серверу и умеет по команде получать доступ к файлам на чтение/запись, создавать симлинки, запускать процессы. Все операции, включая отправку отчетов, выполняются через io_uring.

Механизм io_uring был реализован еще в Linux 5.1 с целью повышения эффективности коммуникаций между пространством пользователя и ядром. Интерфейс позволяет выполнять множество операций (поддерживается более 60, в том числе файловые и сетевые) без использования системных вызовов, которые тормозят и подвешивают процессы.

Вместе с тем многие коммерческие ИБ-решения для Linux класса EDR при мониторинге среды выполнения полагаются на перехват системных вызовов и игнорируют все, что связано с io_uring.

Тестирование Curing с помощью популярных инструментов защиты Linux и контейнерных сред почти во всех случаях показало нулевой уровень детектирования.

Кураторы opensource-проекта Falco подтвердили наличие проблемы и работают над плагином, позволяющим создавать LSM-хуки с помощью eBPF. Столь же быстро отреагировали в CrowdStrike, для Falcon уже создан фикс, добавляющий обзор файловых операций на базе io_uring.

В SentinelOne сразу заявили, что подобный обход их продукту не страшен, однако внимательно выслушали и даже помогли с тестами.

Опенсорсный Tetragon (мониторинг вызовов в ядре Linux на основе eBPF в реальном времени) в дефолтной конфигурации не смог обнаружить вредоносную активность, однако разработчики уверены, что его можно подстроить и под такие руткиты, как Curing.

Продукт Microsoft Defender for Endpoint задетектил только модификацию файлов, но вендор никак не отреагировал на многочисленные попытки установить контакт.

 

Код Curing выложен для ознакомления и дальнейшего тестирования на GitHub.

Telegram снял предупреждающую плашку с аккаунтов, использовавших Телегу

Telegram перестал помечать специальной плашкой аккаунты, которые использовали сторонний клиент Телега. Такая метка появилась в мессенджере в конце марта на фоне скандала вокруг Телеги.

На изменение обратил внимание телеграм-канал «Код Дурова». Тогда сообщалось, что в клиенте нашли признаки MITM-перехвата трафика.

Проще говоря, возникли подозрения, что переписки и данные пользователей могли проходить не совсем тем маршрутом, на который они рассчитывали.

История быстро стала неприятной для проекта. Через несколько дней Cloudflare пометил рабочие домены Телеги как шпионские. Затем у альтернативного клиента отозвали TLS-сертификат, после чего приложение удалили из App Store. Разработчики Телеги позже подали иск в ФАС к Apple.

Теперь плашка исчезла, произошло это примерно через неделю после закрытия проекта Телега. Разработчики сообщили о прекращении его существования, в том числе из-за внешних ограничений со стороны технологических платформ.

Формально исчезновение метки не означает, что все вопросы к истории с Телегой закрыты. Скорее Telegram убрал предупреждение после того, как сам клиент фактически сошёл со сцены.

Но сюжет получился показательный: сторонние клиенты мессенджеров могут выглядеть удобной альтернативой, пока внезапно не всплывают вопросы к маршруту трафика, сертификатам и тому, кто вообще стоит между пользователем и его перепиской.

RSS: Новости на портале Anti-Malware.ru