Ha surgido una sofisticada herramienta de evasión de Linux llamada Ringreaper, aprovechando la característica legítima del núcleo Io_uring para evitar los sistemas modernos de detección y respuesta de punto final (EDR).
Esta herramienta avanzada del equipo rojo demuestra cómo los atacantes pueden explotar las operaciones de E/S asíncronas de alto rendimiento para llevar a cabo operaciones sigilosas mientras permanecen sin detectar por los mecanismos tradicionales de monitoreo de seguridad.
Recientemente discutimos una vulnerabilidad de seguridad en el IO_uring de Linux que permite a los atacantes implementar encopluamente RootKits. Esta misma vulnerabilidad ha sido aprovechada por una nueva herramienta para evadir los sistemas de detección y respuesta de punto final (EDR) de manera efectiva.
Control de llave
1. RingreAper Explota la función de núcleo Linux IO_uring para evitar los sistemas EDR a través de E/S asíncronas en lugar de Syscalls tradicionales.
2. Realiza comunicaciones de red y operaciones de archivos con eventos auditables mínimos, logrando una desordenada completa.
3. Las soluciones EDR actuales fallan porque monitorean las syscalls estándar en lugar de las operaciones de IO_uring.
4. Los equipos de seguridad deben implementar el monitoreo específico de Io_uring antes de que esta técnica se generalice.
Técnica de evasión a través de io_uring
RINGREAPER representa una evolución significativa en las técnicas de evasión basadas en Linux al utilizar io_uring, una característica de núcleo introducida en Linux 5.1 diseñada para operaciones de E/S asíncronas de alto rendimiento.
A diferencia de los enfoques tradicionales que dependen de las llamadas directas del sistema, esta herramienta opera a través de los anillos de envío y finalización, sin pasar por alto los mecanismos de detección basados en SYSCall que la mayoría de las soluciones EDR monitorean.
Según Matheuz InformeLa arquitectura de la herramienta se centra en las funciones clave que demuestran sus capacidades evasivas. La función send_all ejemplifica este enfoque:
Esta función demuestra cómo las comunicaciones de red ocurren a través de las operaciones de IO_uring en lugar de las syscalls de envío/RECV tradicionales, lo que hace que la detección sea significativamente más desafiante.
RINGREAPER incorpora capacidades sofisticadas posteriores a la explotación, incluidas las operaciones de archivos, la enumeración del proceso y el descubrimiento de usuarios. La función CMD_PRiveSC de la herramienta muestra su capacidad para identificar binarios Suid para la escalada de privilegios:
La efectividad de la herramienta proviene de la dependencia de los sistemas EDR en el monitoreo de Syscalls tradicionales como abrir, conectar, leer y escribir.
Al utilizar el modelo de procesamiento de lotes asíncrono de IO_URING, RingreAper genera significativamente menos eventos auditables, lo que lo hace “totalmente indetectable” (FUD) a las soluciones EDR actuales.
Los investigadores de seguridad advierten que esta técnica representa un cambio de paradigma en el desarrollo de malware de Linux.
La capacidad de la herramienta para realizar la exfiltración de archivos, acceder a archivos confidenciales y ejecutar comandos, mientras que el resto no detectan las brechas críticas en los enfoques actuales de monitoreo de seguridad.
Los defensores deben adaptarse implementando capacidades de monitoreo específicas de IO_URING, potencialmente a través de la instrumentación EBPF de IO_URING_ENTER SYSCALLS y operaciones internas del núcleo.
A medida que esta técnica gana popularidad entre los actores de amenaza avanzados, los equipos de seguridad deberían priorizar el desarrollo de mecanismos de detección para las técnicas de evasión basadas en Io_uring antes de que se conviertan en la corriente principal en el panorama de malware de Linux.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}