RingReaper: Linux-бэкдор, обходящий EDR с помощью io

RingReaper: Linux-бэкдор, обходящий EDR с помощью io_uring

Татьяна Никитина 08 Июля 2025 - 08:54

...

RingReaper: Linux-бэкдор, обходящий EDR с помощью io_uring

Создан еще один PoC-код, демонстрирующий возможность обхода EDR-защиты Linux с помощью интерфейса ядра io_uring. Программа-агент, написанная специалистом по пентесту MatheuZ, способна скрытно и бесшумно работать в системе, как бэкдор.

Механизм асинхронного ввода-вывода io_uring был реализован еще в Linux 5.1 с целью повышения эффективности коммуникаций между пространством пользователя и ядром. Интерфейс позволяет выполнять множество операций без использования системных вызовов, которые тормозят и подвешивают процессы.

Вместе с тем многие коммерческие ИБ-решения для Linux класса EDR при мониторинге среды выполнения полагаются на перехват системных вызовов open, connect, read, write или отслеживают их с помощью зондов eBPF и игнорируют все, что связано с io_uring (максимум — фиксируют вызов io_uring_enter).

Созданный MatheuZ бэкдор пока не умеет закрепляться в системе, но скрытен и гибок в использовании. Он подключается к C2-серверу, код которого написан на Python, в интерактивном режиме принимает команды и выполняет задачи постэксплуатации, умело скрываясь от традиционных средств мониторинга.

Основные функции RingReaper:

передача данных по сети с использованием io_uring_prep_send и io_uring_prep_recv;
чтение содержимого файлов с помощью io_uring_prep_openat и io_uring_prep_read;
загрузка и вывод файлов без использования системных вызовов read и write;
выполнение команд на составление списков пользователей, процессов, соединений;
самоудаление через io_uring_prep_unlinkat.

Использование io_uring помогает PoC-зловреду не только обходить традиционную EDR-защиту, но также выдавать свой трафик за легитимный, особенно на стандартных портах вроде 443.

В минувшем апреле возможность обхода EDR с помощью io_uring продемонстрировали эксперты ARMO. Тестирование написанного ими Linux-руткита показало близкий к нулю уровень детектирования.

А в атаках на Windows злоумышленники для обхода EDR начали использовать инструмент пентеста Shellter. В настоящее время его применяют для скрытной загрузки инфостилеров, притом тоже с большой вероятностью успеха.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 02 Сентября 2025 - 20:21

Корпорации МТС

MWS Cloud увеличила GPU-мощности виртуальной инфраструктуры в 1,5 раза

В первой половине 2025 года MWS Cloud расширила ресурсы своей виртуальной инфраструктуры с графическими процессорами в 1,5 раза. Дополнительные мощности появились в двух московских дата-центрах — «Авантаж» и GreenBushDC, а также в одном ЦОД в Санкт-Петербурге.

GPU-инфраструктура используется для обучения и инференса моделей машинного обучения, больших языковых моделей и систем компьютерного зрения.

На её основе можно запускать платформы для ML-разработки и инференса, при этом пользователи оплачивают только фактически потреблённые ресурсы.

Такие мощности востребованы у разработчиков и компаний, работающих с генеративными нейросетями, системами распознавания, высоконагруженными продуктами, а также с задачами рендеринга, симуляций и анализа больших данных.

По данным MWS Cloud, с начала года использование GPU-ресурсов в их облаке выросло почти в 1,7 раза.