POC rootkit Curing逃避传统的Linux检测系统
研究人员创建了一个称为Curing的POC Rootkit,该POC使用Linux的IO_uring功能来逃避传统的系统呼叫监视。 ARMO研究人员已经证明了概念验证(POC)rootkit命名固化,依赖于Linux异步I/O机制IO_IRNING来绕过传统的系统呼叫监控。 “固化是使用io_uring执行不同任务而无需使用任何syscall的rootkit的POC,[…]
来源:Security Affairs _恶意软件POC rootkit Curing逃避传统的Linux检测系统
研究人员创建了一个称为Curing的POC Rootkit,该POC使用Linux的IO_uring功能来逃避传统的系统呼叫监视。
ARMO研究人员已经证明了概念验证(POC)rootkit命名固化,依赖于Linux异步I/O机制IO_IRNING绕过传统的系统呼叫监控。
固化 io_uring“固化是一个使用io_uring执行不同任务的rootkit的POC,而无需使用任何SYSCALL,这使得它仅对仅监视Syscalls的安全工具不可见。该项目被发现针对许多最流行的安全工具,例如Linux EDRS Solutions and Container Security等最受欢迎的安全工具。”这个想法是在最新的CCC会议#38C3上诞生的,因此,该想法是Curing的名称,它是C和IO_URING的混合物。”
描述c
io_uring是使用用户和内核空间之间共享环缓冲区的异步I/O的Linux API,让应用程序执行操作而无需系统调用,从而使基于SYSCALL的安全工具无效。
io_uring于2019年3月在Linux内核版本5.1中引入。
引入“ rootkit演示了C2服务器与受感染主机之间的通信,以拉动命令并执行它们,而无需对其操作进行任何系统调用。”阅读专家发布的报告。 “主要的想法是表明IO_Iring允许许多重要的操作,您可以在顶部编写整个Rootkit。”
报告研究人员解释说,在撰写本文时,io_uring支持61个操作,包括网络和文件系统任务。研究人员建立了一个功能齐全的Rootkit,完全依靠IO_Iring来证明现实世界的风险。
61操作可在此处提供用于绕过Falco和Tetragon运行时检测系统的固化POC代码。
falco 四角形 在这里在Twitter上关注我:@securityaffairs和Facebook和Mastodon
@securityaffairs Facebook