Linux ekosisteminde yakın zamanda yapılan bir keşif, ‘noexec’ bağlama bayrağını atlayarak daha önce güvenli olduğu düşünülen sistemlerde kötü amaçlı kod yürütülmesine olanak tanıyan bir yöntemi ortaya çıkardı.
Bu güvenlik açığı, dosyasız yürütme olarak bilinen bir teknik olan, ikili dosyaları dosya sistemine dokunmadan yürütmek için Linux sistem çağrıları ve işlem belleği manipülasyonunun birleşiminden yararlanır.
‘Noexec’ bağlama bayrağı, ikili dosyaların geçici dosya sistemleri (tmpfs) gibi belirli dosya sistemlerinde yürütülmesini önlemek için tasarlanmış bir güvenlik özelliğidir./dev/shm‘.
Ancak araştırmacılar, ‘memfd_create’ sistem çağrısından yararlanarak ve işlem belleğini değiştirerek bu kısıtlamayı aşmanın bir yolunu buldular./proc/kendi/mem‘.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)
Linux Sistemi ‘noexec’ Bağlantı Bayrağı Atlaması
1. Bellek Destekli Dosya Tanımlayıcı Oluşturma: ‘memfd_createSistem çağrısı, kalıcı depolama ihtiyacını atlayarak tamamen RAM’deki bir dosyaya atıfta bulunan bir dosya tanımlayıcı oluşturmak için kullanılır.
2. İşlem Belleğinin Değiştirilmesi: ‘/proc/self/mem‘ arayüzü, işlem belleğine isteğe bağlı kabuk kodu yazmak için kullanılır.
Bu kabuk kodu daha sonra Talimat İşaretçisinin üzerine yazılarak yürütülür ve CPU yürütmeye devam ettiğinde orijinal işlem kodu yerine kötü amaçlı kodun çalıştırılmasını sağlar.
3. İkilinin Yürütülmesi: Kabuk kodu, `’yi kullanarak bellek destekli bir dosya tanımlayıcı oluşturur.memfd_create‘, ikili dosyayı stdin’den bu tanımlayıcıya kopyalar ve ardından bellek dosyası tanımlayıcısında depolanan ikili dosyayı yürütmek için ‘execveat’ı kullanır.
Bu teknik özellikle endişe vericidir çünkü salt okunur dosya sistemleri gibi geleneksel yürütme yöntemlerinin kısıtlandığı ortamlarda veya ‘noexec’ bağlama bayrağının uygulandığı ortamlarda yürütülebilir.
Ayrıca dosya sisteminde hiçbir iz bırakmaz, bu da onu tespit edilmesi ve ortadan kaldırılması zor bir tehdit haline getirir.
Araştırmacılar ayrıca Perl ve PHP kullanılarak da benzer saldırıların gerçekleştirilebileceğini gösterdiler ve bu saldırı vektörünün çok yönlülüğünü vurguladılar.
Perl çeşidi, kabuk kodu veya erişim gerektirmediği için özellikle dikkat çekicidir./proc/kendi/mem‘, konteynerli ortamlarda bile etkili olmasını sağlar.
Bu tür saldırıları önlemek için, ‘e erişimi kısıtlamak çok önemlidir’memfd_create` ve diğer hassas sistem çağrılarını kontrol etmek ve kötü amaçlı süreçlerin yeteneklerini sınırlandırabilecek SELinux veya GRSecurity gibi ek güvenlik önlemlerini uygulamak.
Bu keşif, güvenlik araştırmacıları ile kötü niyetli aktörler arasında süregelen kedi-fare oyununun altını çiziyor ve siber güvenlikte sürekli dikkat ve inovasyon ihtiyacını vurguluyor.
Tehdit ortamı geliştikçe sistem yöneticilerinin ve güvenlik profesyonellerinin bilgi sahibi olması ve savunmalarını buna göre uyarlaması hayati önem taşıyor.
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar