Ha surgido una nueva y sofisticada tensión de malware dirigida a entornos de Linux, que demuestra capacidades de evasión avanzadas que desafían los sistemas tradicionales de detección y respuesta de punto final.
RingREAPER, identificado como un agente posterior a la explotación, aprovecha la interfaz de E/S asíncrona moderna del kernel de Linux para realizar operaciones encubiertas mientras mantiene una visibilidad mínima para las herramientas de monitoreo de seguridad.
La innovación principal del malware radica en su explotación de Io_uring, una adición relativamente reciente al núcleo Linux que permite operaciones de E/S asíncronas de alto rendimiento.
Al utilizar esta interfaz en lugar de las llamadas de sistema convencionales, RingreAper omite efectivamente los mecanismos de detección basados en ganchos en los que la mayoría de las soluciones EDR dependen para la identificación y mitigación de amenazas.
Los analistas de seguridad de PICU tienen identificado Ringreal como una amenaza particularmente preocupante debido a su enfoque sistemático para el reconocimiento y la recopilación de datos.
El malware demuestra capacidades que abarcan múltiples vectores de ataque, incluido el descubrimiento de procesos, la enumeración de la red, la identificación del usuario y la escalada de privilegios, todo mientras mantiene sigiloso a través de sus nuevas técnicas de evasión.
El impacto de Ringreaper se extiende más allá de las preocupaciones de malware típicas, ya que su éxito representa un cambio de paradigma en la forma en que los actores de amenaza pueden evadir la infraestructura de seguridad moderna.
Las soluciones de monitoreo tradicionales que dependen de la intercepción de llamadas del sistema se encuentran ciegas a las actividades realizadas a través de primitivas de io_ing, creando brechas significativas en las posturas de seguridad organizacionales.
Evasión avanzada a través de la implementación de IO_uring
Las características más sofisticadas de Ringreaper se centran en su implementación de primitivas IO_uring para reemplazar las llamadas de sistema estándar típicamente monitoreadas por herramientas de seguridad.
En lugar de invocar funciones convencionales, como leer, escribir, Recv, enviar o conectarse, el malware emplea operaciones asincrónicas a través de funciones IO_URING_PREP_*.
Esta técnica resulta particularmente efectiva durante las fases de reconocimiento. Al realizar el descubrimiento de procesos, Ringreaper ejecuta cargas útiles como “$ WorkDir”/CMDME y “$ WorkDir”/Executeps para enumerar los procesos de ejecución y la información del sistema.
Estas operaciones consultan el sistema de archivos /PROC de manera asincrónica, recuperando ID de proceso, nombres y detalles de propiedad sin activar alertas de monitoreo de procesos estándar.
Las capacidades de descubrimiento de red del malware demuestran una sofisticación similar a través de la carga útil “$ WorkDir”/NetStatConnections, que aprovecha Io_uring para consultar tablas de red de kernel e información de socket.
Esto replica efectivamente la funcionalidad de NetStat mientras evita las llamadas del sistema sincrónico, lo que permite la recopilación integral de datos de conexión de red con una probabilidad de detección reducida.
Quizás lo más preocupante sea el mecanismo de auto-conservación de Ringreaper implementado a través de la carga útil “$ WorkDir”/SelfDestruct, que utiliza io_uring para la eliminación de archivos asíncronos.
Esto permite que el malware elimine sus propios ejecutables al tiempo que evita el monitoreo de la operación de archivo estándar, asegurando la eliminación de artefactos exhaustivos y complicando significativamente los esfuerzos de análisis forense.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
