Geleneksel uç nokta tespiti ve yanıt sistemlerine meydan okuyan ileri kaçaklama yeteneklerini gösteren Linux ortamlarını hedefleyen gelişmiş yeni kötü amaçlı yazılım zorluğu ortaya çıkmıştır.
Sıkıştırma sonrası bir ajan olarak tanımlanan Ringreaper, güvenlik izleme araçlarına minimum görünürlüğü korurken gizli işlemler yapmak için Linux çekirdeğinin modern asenkron I/O arayüzünden yararlanır.
Kötü amaçlı yazılımın birincil inovasyonu, Linux çekirdeğine yüksek performanslı eşzamansız I/O operasyonları sağlayan nispeten yeni bir ek olan IO_uring’den yararlanmasında yatmaktadır.
Geleneksel sistem çağrıları yerine bu arayüzü kullanarak, Ringreeaper, çoğu EDR çözümünün tehdit tanımlama ve azaltma için güvendiği kanca tabanlı algılama mekanizmalarını etkili bir şekilde atlar.
Picus güvenlik analistleri, keşif ve veri toplamaya sistematik yaklaşımı nedeniyle Ringreaper’ı özellikle ilgili bir tehdit olarak tanımladılar.
Kötü amaçlı yazılım, yeni kaçış teknikleri aracılığıyla gizliliği korurken, süreç keşfi, ağ numaralandırma, kullanıcı tanımlama ve ayrıcalık artışı dahil olmak üzere birden fazla saldırı vektörünü kapsayan yetenekleri gösterir.
Ringreaper’ın etkisi, başarısı, tehdit aktörlerinin modern güvenlik altyapısından nasıl kaçabileceği konusundaki bir paradigma değişimini temsil ettiğinden, tipik kötü amaçlı yazılım endişelerinin ötesine uzanmaktadır.
Sistem çağrısı müdahalesine bağlı geleneksel izleme çözümleri, kendilerini IO_uring ilkelleri aracılığıyla yürütülen faaliyetlere kör bulur ve organizasyonel güvenlik duruşlarında önemli boşluklar yaratır.
İo_uring uygulaması yoluyla gelişmiş kaçırma
Ringreaper’ın en sofistike özellikleri, genellikle güvenlik araçları tarafından izlenen standart sistem çağrılarını değiştirmek için io_uring ilkellerinin uygulanmasına odaklanır.
Gibi geleneksel işlevleri çağırmak yerine read– write– recv– sendveya connectkötü amaçlı yazılım asenkron operasyonlar kullanır. io_uring_prep_* işlevler.
Bu teknik keşif aşamalarında özellikle etkilidir. Process keşfini gerçekleştirirken, Ringreaper gibi yükleri yürütür "$WORKDIR"/cmdMe Ve "$WORKDIR"/executePs Çalışma süreçlerini ve sistem bilgilerini numaralandırmak için.
Bu işlemler sorgular /proc Dosya sistemi eşzamansız olarak, standart işlem izleme uyarılarını tetiklemeden işlem kimliklerini, adları ve sahiplik ayrıntılarını alın.
Kötü amaçlı yazılımların ağ keşif yetenekleri, "$WORKDIR"/netstatConnections Çekirdek ağ tablolarını ve soket bilgilerini sorgulamak için io_uring’i kullanan yük.
Bu, senkron sistem çağrılarından kaçınırken NetStat işlevselliğini etkili bir şekilde çoğaltır ve kapsamlı ağ bağlantısı veri toplama işlemine izin verir.
Belki de en önemlisi, Ringreaper’ın kendini koruma mekanizmasıdır. "$WORKDIR"/selfDestruct Asenkron dosya silme için io_uring kullanan yük.
Bu, kötü amaçlı yazılımın standart dosya işlem izlemesinden kaçınarak kendi yürütülebilir ürünlerini kaldırmasını sağlar, bu da kapsamlı eserlerin kaldırılmasını sağlar ve adli analiz çabalarını önemli ölçüde karmaşıklaştırır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.