Ringreaper adında yeni bir araç, savunucular ve kırmızı takımcılar arasında kaşları kaldırıyor.
IO_URAPER olarak bilinen meşru, yüksek performanslı Linux çekirdek özelliğinden yararlanarak, RingReaper, gelişmiş saldırganların modern uç nokta algılama ve yanıt (EDR) sistemlerini bile nasıl azaltabileceğini gösterir.
IO_uring’in saldırı güvenliğinde yükselişi
Linux çekirdeği 5.1’de tanıtıldı, io_uring yüksek verimli, eşzamansız I/Ç operasyonları sağlamak için tasarlanmıştır.
Her bir dosya veya ağ işleminin ayrı, kolayca izlenen bir Syscall’ı tetiklediği geleneksel model yerine, bir işlemin paylaşılan bir kuyruğa birden fazla G/Ç isteği göndermesini sağlar.
Çekirdek, bu istekleri kaynaklara izin vererek işler ve sonuçları ayrı bir tamamlama kuyruğu yoluyla döndürür. Bu tasarım, EDR’lerin çoğunun izlemek için oluşturulduğu tekrarlayan, engelleyen syscall’ları ortadan kaldırır.
IO_uring’in saldırganlar için temel avantajları:
- Birden fazla işlem (açık, okuma, yazma, gönder, bağlantı) toplu olarak işlenir.
- Daha az bireysel syscall, EDR’ler tarafından görülebilir.
- Asenkron operasyonlar genellikle kötü amaçlı yazılım tarafından üretilen “gürültüyü” azaltır.
Ringreaper, henüz kalıcı olmasa da gizli ve esneklik için tasarlanmış bir arka kapı ajanıdır.
Saldırgan kontrollü bir sunucuya (C2) bağlanır, komutları kabul eder ve bir dizi sömürme sonrası görevi gerçekleştirir-hepsi geleneksel izlemeden kaçarken.
Temel özellikler şunları içerir:
- Ağ iletişimi IO_uring_prep_send ve io_uring_prep_recv aracılığıyla
- Dosya İşlemleri IO_uring_prep_openat ve io_uring_prep_read kullanma
- Dosya Yükleme/İndir açık okuma/yazma syscalls olmadan
- Uzaktan komut yürütme: Kullanıcıları, süreçleri ve bağlantıları listeleme
- Kendini aşılama IO_uring_prep_unlinkat kullanma
Python’da yazılmış aracısının C2 sunucusu, operatörlerin etkileşimli olarak komut göndermesine ve dosya transferleri de dahil olmak üzere yanıtlar almasına izin verir.
EDR’ler nasıl atlanır
Geleneksel Linux EDR araçları açık, bağ, okuma ve yazma gibi syscall’ları izleyin – genellikle kancaları veya EBPF problarını kullanarak.
Ringreaker bunları, işlemleri toplayan ve sadece minimal Syscall aktivitesi (öncelikle IO_uring_enter) ortaya koyan IO_uring aracılığıyla tüm G/Ç’yi hunal ederek yan yana koyar.
Bu, EDR’ler tarafından görülebilen olay sayısını büyük ölçüde azaltır ve algılamayı daha zor hale getirir.
Bu neden işe yarıyor:
- Çoğu EDR henüz IO_uring ile ilgili syscall’ları derinden izlemez.
- Kötü niyetli trafik, özellikle 443 gibi standart bağlantı noktaları üzerinde meşru olarak gizlenebilir.
Ringreaper şu anda yüksek derecede bir gizlilikten hoşlanırken, savunucular güçsüz değil.
Teorik olarak, EDR’ler IO_uring_enter’ı bağlayabilir veya IO_uring işlemlerini izlemek için EBPF kullanabilir, ancak bugün çok az ticari ürün bunu yapar.
Gelişmiş saldırganlar bu teknikleri benimsedikçe, savunucular, algılama mantığını güncelleyerek ve IO_uring’in içsellerine aşina olarak adapte olmalıdır.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt