Io_uring как бэкдор: хакеры превратили Linux против самого себя
NewsMakerОдна функция ядра Linux уничтожила миллиарды долларов защиты.
Новый инструмент RingReaper вызвал обеспокоенность среди специалистов по кибербезопасности и команд, занимающихся тестированием на проникновение. Программа использует легитимную и мощную функцию ядра Linux под названием io_uring для обхода современных систем обнаружения и реагирования на угрозы ( EDR ).
Функция io_uring была внедрена в ядро Linux начиная с версии 5.1 и предназначена для ускорения асинхронных операций ввода-вывода. В отличие от традиционной модели, где каждая операция с файлами или сетью вызывает отдельный системный вызов, io_uring позволяет процессу отправлять сразу несколько запросов в общую очередь. После этого ядро обрабатывает их по мере доступности ресурсов, а результаты возвращаются через отдельную очередь завершения. Такая архитектура устраняет необходимость в многочисленных системных вызовах, которые обычно легко отслеживаются средствами безопасности.
По словам специалистов, io_uring делает возможной одновременную обработку множества операций, таких как открытие файлов, чтение, запись и сетевые соединения. Это значительно сокращает количество отдельных системных вызовов, что затрудняет их отслеживание. Кроме того, асинхронный характер операций снижает уровень активности, который может быть замечен защитными решениями.
RingReaper представляет собой агент удалённого доступа, созданный с упором на незаметность и гибкость. Хотя он пока не обладает функцией постоянного закрепления в системе, его возможности уже впечатляют. Программа подключается к серверу под контролем злоумышленника и выполняет разнообразные задачи после успешного проникновения, оставаясь при этом практически невидимой для стандартных средств мониторинга.
Среди функциональных особенностей RingReaper — организация сетевых коммуникаций, работа с файлами, загрузка и выгрузка данных, выполнение удалённых команд для просмотра пользователей, процессов и сетевых подключений, а также самоуничтожение программы после завершения работы.
Сервер управления RingReaper написан на Python, что позволяет злоумышленникам в интерактивном режиме отдавать команды и получать ответы, включая пересылку файлов.
Эффективность обхода EDR систем достигается за счёт того, что традиционные решения безопасности для Linux полагаются на отслеживание системных вызовов вроде open, connect, read и write. Большинство таких систем используют перехват вызовов или eBPF-щупы для мониторинга активности. RingReaper же отправляет все операции через io_uring, где основная активность ограничивается малозаметными вызовами типа io_uring_enter. Это существенно снижает количество видимых событий и затрудняет обнаружение.
Причиной высокой эффективности такого подхода является то, что большинство современных EDR пока не отслеживают глубоко вызовы, связанные с io_uring. Кроме того, зловредный трафик можно замаскировать под легитимный, особенно если использовать стандартные сетевые порты, например 443.
Несмотря на высокий уровень незаметности RingReaper, у защитников остаются способы противодействия. В теории можно внедрить отслеживание вызовов io_uring_enter или использовать eBPF для полноценного мониторинга операций через io_uring, однако подавляющее большинство коммерческих продуктов пока этого не делает.
В связи с ростом популярности таких методов среди киберпреступников специалисты призывают срочно пересматривать стратегии защиты и изучать внутренние механизмы io_uring, чтобы своевременно выявлять новые угрозы.
Новый инструмент RingReaper вызвал обеспокоенность среди специалистов по кибербезопасности и команд, занимающихся тестированием на проникновение. Программа использует легитимную и мощную функцию ядра Linux под названием io_uring для обхода современных систем обнаружения и реагирования на угрозы ( EDR ).
Функция io_uring была внедрена в ядро Linux начиная с версии 5.1 и предназначена для ускорения асинхронных операций ввода-вывода. В отличие от традиционной модели, где каждая операция с файлами или сетью вызывает отдельный системный вызов, io_uring позволяет процессу отправлять сразу несколько запросов в общую очередь. После этого ядро обрабатывает их по мере доступности ресурсов, а результаты возвращаются через отдельную очередь завершения. Такая архитектура устраняет необходимость в многочисленных системных вызовах, которые обычно легко отслеживаются средствами безопасности.
По словам специалистов, io_uring делает возможной одновременную обработку множества операций, таких как открытие файлов, чтение, запись и сетевые соединения. Это значительно сокращает количество отдельных системных вызовов, что затрудняет их отслеживание. Кроме того, асинхронный характер операций снижает уровень активности, который может быть замечен защитными решениями.
RingReaper представляет собой агент удалённого доступа, созданный с упором на незаметность и гибкость. Хотя он пока не обладает функцией постоянного закрепления в системе, его возможности уже впечатляют. Программа подключается к серверу под контролем злоумышленника и выполняет разнообразные задачи после успешного проникновения, оставаясь при этом практически невидимой для стандартных средств мониторинга.
Среди функциональных особенностей RingReaper — организация сетевых коммуникаций, работа с файлами, загрузка и выгрузка данных, выполнение удалённых команд для просмотра пользователей, процессов и сетевых подключений, а также самоуничтожение программы после завершения работы.
Сервер управления RingReaper написан на Python, что позволяет злоумышленникам в интерактивном режиме отдавать команды и получать ответы, включая пересылку файлов.
Эффективность обхода EDR систем достигается за счёт того, что традиционные решения безопасности для Linux полагаются на отслеживание системных вызовов вроде open, connect, read и write. Большинство таких систем используют перехват вызовов или eBPF-щупы для мониторинга активности. RingReaper же отправляет все операции через io_uring, где основная активность ограничивается малозаметными вызовами типа io_uring_enter. Это существенно снижает количество видимых событий и затрудняет обнаружение.
Причиной высокой эффективности такого подхода является то, что большинство современных EDR пока не отслеживают глубоко вызовы, связанные с io_uring. Кроме того, зловредный трафик можно замаскировать под легитимный, особенно если использовать стандартные сетевые порты, например 443.
Несмотря на высокий уровень незаметности RingReaper, у защитников остаются способы противодействия. В теории можно внедрить отслеживание вызовов io_uring_enter или использовать eBPF для полноценного мониторинга операций через io_uring, однако подавляющее большинство коммерческих продуктов пока этого не делает.
В связи с ростом популярности таких методов среди киберпреступников специалисты призывают срочно пересматривать стратегии защиты и изучать внутренние механизмы io_uring, чтобы своевременно выявлять новые угрозы.