.webp?w=696&resize=696,0&ssl=1 "Ringreaper - Yeni Linux EDR Koruma Aracı")
Modern uç nokta algılama ve yanıt (EDR) sistemlerini atlamak için meşru IO_uring çekirdeği özelliğinden yararlanan Ringreaper adı verilen sofistike yeni bir Linux kaçakçılığı aracı ortaya çıktı.
Bu gelişmiş kırmızı ekip aracı, saldırganların geleneksel güvenlik izleme mekanizmaları tarafından tespit edilmezken gizli operasyonlar yürütmek için yüksek performanslı eşzamansız I/O operasyonlarını nasıl kullanabileceğini göstermektedir.
Kısa bir süre önce, Linux’un IO_URING’inde saldırganların gizli bir şekilde rootkitleri dağıtmasına izin veren bir güvenlik açığı tartıştık. Aynı güvenlik açığı, uç nokta algılama ve yanıt (EDR) sistemlerinden etkili bir şekilde kaçmak için yeni bir araçla kullanılmıştır.
Key Takeaways
1. RingReaper exploits the Linux io_uring kernel feature to bypass EDR systems through asynchronous I/O instead of traditional syscalls.
2. Performs network communications and file operations with minimal auditable events, achieving full undetection.
3. Current EDR solutions fail because they monitor standard syscalls rather than io_uring operations.
4. Security teams must implement io_uring-specific monitoring before this technique becomes widespread.
İo_uring aracılığıyla kaçırma tekniği
Ringreaper, yüksek performanslı asenkron I/Ç operasyonları için tasarlanmış Linux 5.1’de tanıtılan bir çekirdek özelliği olan IO_uring kullanılarak Linux tabanlı kaçırma tekniklerinde önemli bir evrimi temsil eder.
Doğrudan sistem çağrılarına dayanan geleneksel yaklaşımların aksine, bu araç, çoğu EDR çözümünün izlediği syscall tabanlı algılama mekanizmalarını etkili bir şekilde atlayarak teslim ve tamamlama halkaları yoluyla çalışır.
Matheuz raporuna göre, aracın mimarisi, kaçınma yeteneklerini gösteren temel işlevler etrafında odaklanıyor. Send_all işlevi bu yaklaşımı örneklendirir:
Bu işlev, ağ iletişiminin geleneksel gönderme/recv syscalls yerine io_uring işlemleri aracılığıyla nasıl gerçekleştiğini gösterir, bu da algılamayı önemli ölçüde daha zor hale getirir.
RingReaper, dosya işlemleri, süreç numaralandırma ve kullanıcı keşfi dahil olmak üzere sofistike sisma sonrası özellikleri içerir. Aracın CMD_PRIVESC işlevi, ayrıcalık artışı için Suid ikili dosyalarını tanımlama yeteneğini sergiliyor:
Aracın etkinliği, EDR Systems’ın açık, bağlantı, okuma ve yazma gibi geleneksel syscall’ları izlemeye güvenmesinden kaynaklanmaktadır.
IO_uring’in eşzamansız parti işleme modelini kullanarak Ringreeaper, mevcut EDR çözümlerine “tamamen tespit edilemez” (FUD) önemli ölçüde daha az denetlenebilir olay üretir.
Güvenlik araştırmacıları, bu tekniğin Linux kötü amaçlı yazılım geliştirmesinde bir paradigma değişimini temsil ettiği konusunda uyarıyor.
Aracın dosya eksfiltrasyonu gerçekleştirme, hassas dosyalara erişme ve komutları yürütme yeteneği, tespit edilmemiş, mevcut güvenlik izleme yaklaşımlarında kritik boşlukları vurgular.
Savunucular, potansiyel olarak IO_uring_enter Syscalls ve dahili çekirdek işlemlerinin EBPF enstrümantasyonu yoluyla IO_uring’e özgü izleme yeteneklerini uygulayarak uyum sağlamalıdır.
Bu teknik gelişmiş tehdit aktörleri arasında popülerlik kazandığından, güvenlik ekipleri, Linux kötü amaçlı yazılım manzarasında ana akım haline gelmeden önce IO_uring tabanlı kaçırma teknikleri için geliştirme mekanizmalarına öncelik vermelidir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi