RingReaper olarak adlandırılan yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı ve sunucuları, uç nokta tespiti ve yanıt (EDR) sistemlerini atlamak için çekirdeğin IO_uring asenkron I/O arayüzünü kullanan gelişmiş sepetleme özelliklerine sahip hedefliyor.
Bu sofistike ajan, gizli operasyonlar için IO_uring_prep_* gibi io_uring ilkellerini kullanarak okuma, yazma, recv, gönderme veya bağlantı gibi geleneksel sistem çağrılarına güvenmeyi en aza indirir.
Görevleri eşzamansız olarak yürüterek, Ringreaper telemetri görünürlüğünü azaltır ve güvenlik araçları tarafından yaygın olarak kullanılan kanca tabanlı algılama mekanizmalarından kaçar.
Siber güvenlik araştırmacıları, bu kötü amaçlı yazılımları aktif kampanyalarda gözlemleyerek gizli veri toplamayı, ayrıcalık artışını ve tehlikeye atılan Linux ortamlarında saklanmayı kolaylaştırma potansiyelini vurguladılar.
Asenkron çekirdek sömürüsü
Ringreaper’ın temel inovasyonu, standart izleme uyarılarını tetiklemeden keşif ve numaralandırma görevlerini yerine getirmek için IO_uring’i kötüye kullanmasında yatmaktadır.
MITER ATT & CK T1057 altındaki işlem keşfi için, kötü amaçlı yazılım, işlem kimliklerini, adları, sahiplerini ve hiyerarşik ilişkileri, PS gibi ancak daha düşük üst üstü taklit eden araçları taklit etmek için “$ Workdir”/CMDME ve “$ Workdir”/Executions gibi yükleri dağıtır.
Benzer şekilde, aktif PTS oturumlarını ve oturum açmış kullanıcıları (T1033) numaralandırmak için, “$ workdir” /loggedUsers yük taramaları /geliştiriciler /pts ve /proc girişlerini haritalamak için kullanıcı aktivitesini haritalamak, yanal hareket veya artış için fırsatları belirlerken DSÖ veya W gibi eşzamanlı komutlardan kaçınır.
Ağ Bağlantısı Keşifinde (T1049), “$ Workdir”/NetStatConnections, NetStat veya SS’ye IP adresleri, bağlantı noktaları, durumları ve ilgili süreçler hakkında ayrıntılar toplayarak çekirdek ağ tablolarına erişmek için io_uring’den yararlanır.
Bu asenkron yaklaşım sadece sistem çağrı gürültüsünü kesmekle kalmaz, aynı zamanda EDR günlüklerinde minimal izler bıraktığı için adli analizi de karmaşıklaştırır.
Veri toplama (T1005) için RingReaper, kedi veya getant çağırmadan kullanıcı adları, UID’ler, GID’ler ve kabuklar dahil/etc/passwd’den kullanıcı bilgilerini eşzamansız olarak çıkarmak için “$ workdir”/dosya kullanır.
Ayrıcalık yükseltme çabaları (T1068), erişimi verimli bir şekilde yükseltmek için kontrolleri otomatikleştirerek, kötüye kullanılabilir Suid ikili ve çekirdek güvenlik açıklarını araştıran “$ Workdir”/PrivesCchecker’ı içerir.
Savunma kaçırma (T1564), kendi kendini aşınma için io_uring kullanan “$ Workdir”/SelfDestrus ile elde edilir, ardından temizlemeyi doğrulamak için LS -L gibi doğrulama komutları ile elde edilir, böylece adli ayak izlerini azaltır.
Tespit stratejileri
Ringreeper’ın etkileri, EDR çözümlerinin geleneksel syscall’lara odaklandığı ve potansiyel olarak asenkron I/O kanallarını izleyen kalıntılara odaklandığı Linux ortamlarındaki güvenlik açıklarının altını çizdiği için derindir.
Güvenlik ekipleri, özellikle kullanıcı dizinlerindeki standart olmayan ikili dosyalardan /etc /passwd gibi anormal IO_uring tabanlı /Proc, /dev /pts veya hassas dosyaları işaretleyerek algılamaya öncelik vermelidir.
Standart takım çağrıları, kendi kendine silinme yürütülebilir ürünler veya aynı $ Workdir’den özel yükler dizileri olmadan düşük üst ağ numaralandırması için izleme enfeksiyonları ortaya çıkarabilir.
Davranışsal göstergeler, SYSCALL’lerin yerini alan IO_URING ilkellerinin kalıplarını, numaralandırma etkinliğine rağmen beklenen komutların olmaması ve çekirdek yapılarında olağandışı asenkron operasyonları içerir.
Azaltmak için, kuruluşların çekirdeklerde IO_URING denetimini geliştirmeleri, şüpheli süreç davranışlarını ilişkilendirmeleri ve savunmasız arayüzlere olgunlaşmamış erişimi kısıtlaması ve böylece bu gelişen tehdide karşı savunmaları güçlendirmeleri tavsiye edilir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!