RingReaper: Linux-бэкдор, обходящий EDR с помощью io_uring
Главная » Новости

RingReaper: Linux-бэкдор, обходящий EDR с помощью io_uring

Татьяна Никитина 08 Июля 2025 - 08:54
...
RingReaper: Linux-бэкдор, обходящий EDR с помощью io_uring

Создан еще один PoC-код, демонстрирующий возможность обхода EDR-защиты Linux с помощью интерфейса ядра io_uring. Программа-агент, написанная специалистом по пентесту MatheuZ, способна скрытно и бесшумно работать в системе, как бэкдор.

Механизм асинхронного ввода-вывода io_uring был реализован еще в Linux 5.1 с целью повышения эффективности коммуникаций между пространством пользователя и ядром. Интерфейс позволяет выполнять множество операций без использования системных вызовов, которые тормозят и подвешивают процессы.

Вместе с тем многие коммерческие ИБ-решения для Linux класса EDR при мониторинге среды выполнения полагаются на перехват системных вызовов open, connect, read, write или отслеживают их с помощью зондов eBPF и игнорируют все, что связано с io_uring (максимум — фиксируют вызов io_uring_enter).

Созданный MatheuZ бэкдор пока не умеет закрепляться в системе, но скрытен и гибок в использовании. Он подключается к C2-серверу, код которого написан на Python, в интерактивном режиме принимает команды и выполняет задачи постэксплуатации, умело скрываясь от традиционных средств мониторинга.

Основные функции RingReaper:

  • передача данных по сети с использованием io_uring_prep_send и io_uring_prep_recv;
  • чтение содержимого файлов с помощью io_uring_prep_openat и io_uring_prep_read;
  • загрузка и вывод файлов без использования системных вызовов read и write;
  • выполнение команд на составление списков пользователей, процессов, соединений;
  • самоудаление через io_uring_prep_unlinkat.

Использование io_uring помогает PoC-зловреду не только обходить традиционную EDR-защиту, но также выдавать свой трафик за легитимный, особенно на стандартных портах вроде 443.

 

В минувшем апреле возможность обхода EDR с помощью io_uring продемонстрировали эксперты ARMO. Тестирование написанного ими Linux-руткита показало близкий к нулю уровень детектирования.

А в атаках на Windows злоумышленники для обхода EDR начали использовать инструмент пентеста Shellter. В настоящее время его применяют для скрытной загрузки инфостилеров, притом тоже с большой вероятностью успеха.

Следующая главная новость »
AM LiveАнатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Рутокен ЭЦП 3.0 получил тонкий корпус, USB-C и улучшенный NFC-режим
Екатерина Быстрова 11 Декабря 2025 - 16:00
Рутокен ЭЦП 3.0 Корпорации Системы аутентификацииТокены и устройства аутентификации Компания «Актив»
Рутокен ЭЦП 3.0 получил тонкий корпус, USB-C и улучшенный NFC-режим

Компания «Актив» объявила о запуске серийного производства обновлённого семейства устройств Рутокен ЭЦП 3.0 — теперь в новом формфакторе Slim и с улучшенной поддержкой бесконтактной электронной подписи. Флагман линейки, Рутокен ЭЦП 3.0 NFC 3100, уже несколько лет остаётся универсальным решением для электронной подписи: устройство сочетает USB и NFC и подходит как для компьютеров, так и для мобильных сценариев.

Но прежний корпус требовал аккуратного позиционирования токена при работе по NFC, что не всегда удобно.

Именно поэтому инженеры компании создали новый тонкий корпус Slim. Он вдвое легче и тоньше классического, получил современный дизайн, а антенна теперь занимает всю площадь платы — благодаря этому токен проще использовать в бесконтактном режиме.

Важное новшество — появление USB-C. В продажу уже вышли четыре модели:

  • Рутокен ЭЦП 3.0 3100 NFC Slim-A, серт. ФСБ;
  • Рутокен ЭЦП 3.0 3100 NFC Slim-A, серт. ФСТЭК;
  • Рутокен ЭЦП 3.0 3100 NFC Slim-C, серт. ФСБ;
  • Рутокен ЭЦП 3.0 3100 NFC Slim-C, серт. ФСТЭК.

Модели Slim-C особенно удобны для мобильной электронной подписи: благодаря распространённости USB-C их можно подключать напрямую к современным планшетам и смартфонам — как контактно, так и по NFC.

Обновлённые устройства полностью заменяют предыдущую линейку в классическом корпусе и уже доступны партнёрам и заказчикам.

AM LiveАнатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »
Ботнет SystemBC нарастил мощность за счет VPS-систем, в том числе из России
Новость
Ботнет SystemBC нарастил мощность за счет VPS-систем, в том...
ФАС возбудила дело против ПИК за препятствия работе интернет-провайдеров
Новость
ФАС возбудила дело против ПИК за препятствия работе интернет...
МВД России закрыло Userbox — крупный телеграм-бот для распространения ПДн
Новость
МВД России закрыло Userbox — крупный телеграм-бот для распро...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.