RingReaper: Linux-бэкдор, обходящий EDR с помощью io

RingReaper: Linux-бэкдор, обходящий EDR с помощью io_uring

Татьяна Никитина 08 Июля 2025 - 08:54

...

RingReaper: Linux-бэкдор, обходящий EDR с помощью io_uring

Создан еще один PoC-код, демонстрирующий возможность обхода EDR-защиты Linux с помощью интерфейса ядра io_uring. Программа-агент, написанная специалистом по пентесту MatheuZ, способна скрытно и бесшумно работать в системе, как бэкдор.

Механизм асинхронного ввода-вывода io_uring был реализован еще в Linux 5.1 с целью повышения эффективности коммуникаций между пространством пользователя и ядром. Интерфейс позволяет выполнять множество операций без использования системных вызовов, которые тормозят и подвешивают процессы.

Вместе с тем многие коммерческие ИБ-решения для Linux класса EDR при мониторинге среды выполнения полагаются на перехват системных вызовов open, connect, read, write или отслеживают их с помощью зондов eBPF и игнорируют все, что связано с io_uring (максимум — фиксируют вызов io_uring_enter).

Созданный MatheuZ бэкдор пока не умеет закрепляться в системе, но скрытен и гибок в использовании. Он подключается к C2-серверу, код которого написан на Python, в интерактивном режиме принимает команды и выполняет задачи постэксплуатации, умело скрываясь от традиционных средств мониторинга.

Основные функции RingReaper:

передача данных по сети с использованием io_uring_prep_send и io_uring_prep_recv;
чтение содержимого файлов с помощью io_uring_prep_openat и io_uring_prep_read;
загрузка и вывод файлов без использования системных вызовов read и write;
выполнение команд на составление списков пользователей, процессов, соединений;
самоудаление через io_uring_prep_unlinkat.

Использование io_uring помогает PoC-зловреду не только обходить традиционную EDR-защиту, но также выдавать свой трафик за легитимный, особенно на стандартных портах вроде 443.

В минувшем апреле возможность обхода EDR с помощью io_uring продемонстрировали эксперты ARMO. Тестирование написанного ими Linux-руткита показало близкий к нулю уровень детектирования.

А в атаках на Windows злоумышленники для обхода EDR начали использовать инструмент пентеста Shellter. В настоящее время его применяют для скрытной загрузки инфостилеров, притом тоже с большой вероятностью успеха.

Следующая главная новость »

Как эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Екатерина Быстрова 08 Декабря 2025 - 20:40

Windows Ошибки конфигурации программ Домашние пользователи Корпорации Microsoft

Microsoft исправила сбои поиска и ошибки Проводника в Windows 11

Microsoft выпустила новую сборку Windows 11 Insider Preview — Build 26220.7344 (KB5070316) для каналов Dev и Beta ветки 25H2. Помимо улучшений механизма быстрого восстановления, платформы Update Orchestration Platform (UOP) и ряда внутренних механизмов, обновление приносит набор давно ожидаемых исправлений.

Многие из этих фиксов закрывают ошибки, на которые бета-тестеры жаловались в последних релизах.

Так, в поиске устранили проблему, из-за которой окно неожиданно «всплывало» над панелью задач. Проводник теперь корректно ведёт себя и больше не показывает раздел «AI Actions», если такие действия недоступны или отключены. Также исправлена ошибка, из-за которой проводник отказывался искать файлы на некоторых SMB-ресурсах.

Windows Hello снова в строю: сбой, ломавший работу сканера отпечатков для части тестировщиков, устранён. Поправили и отображение панели Project — она могла не появляться после нажатия Win+P.

Пользователи новой полноэкранной Xbox-оболочки тоже получат улучшения: виртуальная клавиатура теперь корректно появляется на устройствах без сенсорного экрана, когда она действительно нужна.

Кроме того, в Microsoft закрыли несколько неприятных системных проблем. В частности, устранён баг, вызывавший синий экран с ошибкой DRIVER_IRQL_NOT_LESS_OR_EQUAL при использовании контроллера.

Ещё одно скрытое, но важное исправление решает проблему, из-за которой система могла намертво зависнуть при попытке запустить терминал Windows с повышенными правами, используя аккаунт без админ-доступа.

Обновление постепенно распространяется среди участников программы Windows Insider.