请注意任何Linux恶意软件偷偷摸摸地逃避Syscall-观看反病毒
Google已发布了100万美元的Bountiesa概念证明程序后,已发布了IO_Iring,以演示某些Linux防病毒和其他端点保护工具如何使用内核的IO_IRT界面,以演示所谓的监视“盲点”。
来源:The Register _恶意软件已发布了概念验证程序,以演示某些Linux防病毒软件和其他端点保护工具如何使用内核的IO_IRD界面,以演示所谓的监视“盲点”。
该接口允许应用程序在不使用传统系统调用的情况下发出IO请求。这是依靠SYSCALL监视来检测威胁的安全工具的问题。
接口并没有为每个请求进行系统调用,而是以读取和编写文件为等的操作以环形缓冲区排队,内核会响起并以单独的缓冲区返回结果。观看Syscalls恶意活动的防病毒软件可能会错过正在经历IO_Iring队列的变化。
为了证明这一点,安全商店Armo建立了一个名为“ Curting”的概念证明,该证明完全通过io_uring生存。由于它避免了系统调用,因此该程序显然没有在默认配置中被包括Falco,Tetragon和Microsoft Defender在内的工具所发现。 ARMO声称这是Linux安全堆栈中的“主要盲点”。
io_uring接口是在2019年发行的Linux内核版本5.1中引入的。从技术上讲,它旨在通过共享环形缓冲区在用户空间和Linux内核之间启用异步I/O操作来增强性能。该体系结构减少了I/O操作所需的系统调用数量,并最大程度地减少了与用户空间和内核空间之间频繁过渡相关的开销。
2019“没有多少公司在使用它,但是您不必使用它来攻击者在大多数Linux系统中默认使用它,这可能是数以万计的服务器,” Armo的首席执行官Shauli Rozen告诉《注册》。 “如果您不使用io_uring,请禁用它,但是对于云供应商来说,这并不总是那么容易。”
寄存器YouTube视频
sysctl -w kernel.io_uring_disabled = 2说 禁用 100万美元的bug赏金 可用