Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов

24.04.2025 22:15

Исследователи из компании ARMO продемонстрировали возможность создания руткитов, не использующих специфичные системные вызовы для выполнения типовых операций, таких как чтение/запись файлов и приём команд от внешнего сервера. Вместо системных вызовов для выполнения сетевых и файловых операций предложено использовать интерфейс асинхронного ввода/вывода io_uring, поддерживаемый начиная с ядра Linux 5.1.

Суть метода в том, что вместо отдельных системных вызовов для доступа к файлам и совершения сетевых операций (read/write, recv/send/connect/bind/listen) можно использовать общие системные вызовы io_uring (io_uring_enter, io_uring_setup, io_uring_register и т.п.), которые не анализируются типовыми инструментариями для выявления вредоносной активности. Интерфейс io_uring поддерживает около 60 различных операций. В разработке находится возможность, позволяющая запускать новые процессы через io_uring.

Для демонстрации работы метода подготовлен прототип руткита Curing, выполняющий такие действия, как приём команд от внешнего сервера и передача/изменение файлов. В демонстрации использовалась отправка запроса на TCP-порт 8888 внешнего хоста и передача содержимого файла "/etc/shadow". Подразумевается, что после успешной компрометации системы и получения прав root, атакующий устанавливает руткит для закрепления своего присутствия на взломанной системе.

В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий на хостах и в контейнерах (поддерживается интеграция с инфраструктурой на базе Kubernetes). Указанные инструменты используют перехват системных вызовов для анализа таких событий, как запуск процессов, сетевая активность и работа с файлами, но не учитывают возможность использования подсистемы io_uring для подобных операций. Большая часть доступных для Linux коммерческих систем обнаружения и реагирования на инциденты с безопасностью также основывается на перехвате системных вызовов.

Для исключения обхода инструментов отслеживания сетевой и файловой активности, вместо перехвата системных вызовов рекомендовано использовать механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам. Например, KRSI на уровне LSM-хуков даёт возможность отслеживать операции с файлами, сетевой доступ и запуск процессов, независимо от того, инициированы данные операции через специфичные системные вызовы или через io_uring.

Ранее подсистема io_uring была объектом критики из-за регулярно всплывающих серьёзных уязвимостей. В ответ на пожелания пользователей, желающих получить простой инструмент для отключения io_uring без пересборки ядра, в ядро Linux 6.6 был добавлен sysctl io_uring_disabled. Компания Google по умолчанию отключила io_uring в ChromeOS, Android и на своих серверах, пояснив, что плачевная ситуация с безопасностью в io_uring перевешивает достоинства применения io_uring для повышения производительности.

исправить +27 +/–

Лицензия: CC BY 3.0

Наводку на новость прислал Artem S. Tashkinov

Короткая ссылка: https://opennet.ru/63136-io_uring

Ключевые слова: io_uring, rootkit

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (51)

1.1, Аноним (1), 22:25, 24/04/2025 [ответить] [﹢﹢﹢] [ · · · ]

–1 +/–

> В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий в контейнерах

Хостовая система не видит, что происходит в контейнере?

Или эти "инструменты" в тех же ns работают?

2.2, Аноним (2), 22:26, 24/04/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация.

3.3, Аноним (1), 22:39, 24/04/2025 [^] [^^] [^^^] [ответить]

+3 +/–

> это вам не виртуализация.

https://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BD

Вообще контейнеризация относится к виртуализации (что как по мне странно).

> Конечно видит, ядро же общее для всех контейнеров,

Вот я тоже не понял, как из непривилегированного контейнера можно что-то там скрыть, без LPE на уровне ядра.

А то что васяноподелки... То есть "инструменты мониторинга" что-то там не видят, то вопрос к их создателям.

4.13, АнонимЯ (?), 02:07, 25/04/2025 [^] [^^] [^^^] [ответить]	+4 +/–
> Вообще контейнеризация относится к виртуализации (что как по мне странно). Просто не читайте до обеда википедию.

4.18, Аноним (18), 07:58, 25/04/2025 [^] [^^] [^^^] [ответить]	+4 +/–
Ничего странного, как всегда надо начинать с определений - они могут сильно отличаться у разных групп. Например, виртуализация может быть разного уровня - железа, ядра, ос, прикладного. Как пример последнего - пачка разнородных питоновских окружений, каждый со своим интерпретатором и набором библиотек/их версий.

1.4, ИмяХ (ok), 22:50, 24/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая парадная дверь для вредноносов. А вы не послушали. Вот теперь расхлёбывайте.

2.5, Аноним (5), 23:09, 24/04/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Кому это нам? Линусу и Ко? Так им пофиг на мнение каких-то там анонимов с опеннета. Денежки получили, теперь ещё заработают на закрытии этой дыры.

3.6, Аноним (6), 23:29, 24/04/2025 [^] [^^] [^^^] [ответить]	+6 +/–
И набегут новые "мейнтейнеры", чтобы предложить io_uring переписывать на Rust.

2.9, нах. (?), 23:32, 24/04/2025 [^] [^^] [^^^] [ответить]	+/–
мне не говорили. Я думал что это улучшайкерство само по себе вредонос (неотключаемый бай дизайн, как всегда), а оно эвон как еще могет!

2.24, n00by (ok), 10:14, 25/04/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Это не про io_uring, а про несостоятельность eBPF-фильтрации вообще как методики обнаружения руткитов. Что давно было показано в другой ОС: если "антируткит" где-то наставил хуков, значит надо идти другим путём.

2.37, vitalif (ok), 13:44, 25/04/2025 [^] [^^] [^^^] [ответить]	+3 +/–
io_uring офигенная вещь, а то что какие-то перехватывалки в неё не научились - это проблема не уринга, а перехватывалок как бы данные там все в момент io_uring_enter очевидно доступны - информация о системных вызовах лежит в памяти в кольцевом буфере. анализируй не хочу

1.7, нах. (?), 23:31, 24/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ураааа! Наконец-то хоть какая-то польза простым смертым от этой иоурины, попереломавшей все файловые системы!

1.8, Аноним (6), 23:32, 24/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+9 +/–
>механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам Предлагается детектить активность одного руткита с помощью другого.

2.20, Аноним (20), 08:44, 25/04/2025 [^] [^^] [^^^] [ответить]	+/–
Ради вашей безопасности, из за того что у них там в разработке (т.е он не работает на нормальной системе) руткит, предлагается : разрешить BPF, и прикреплять BPF-программы к любым LSM-хукам. Ну прям классический развод про дыры ради безопасности.

2.48, Аноним (48), 22:28, 26/04/2025 [^] [^^] [^^^] [ответить]	+/–
Придумаешь как сделать лучше — пиши. Инвестирую в твой стартап.

1.12, мяв (?), 01:05, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
так.. все равно происходит чтение, все равно происходит подключение к сети. я дальше половины новости не читала, но даже если это модуль ядра - будет чтение файла и отправка со стороны ядра. MACи это явно увидят, lsm не дураками делался. ровно, как и подсистема аудита.

2.25, n00by (ok), 10:22, 25/04/2025 [^] [^^] [^^^] [ответить]

+/–

А надо было читать дальше:

"вместо перехвата системных вызовов рекомендовано использовать механизм KRSI ... даёт возможность отслеживать ... независимо от того, инициированы данные операции через специфичные системные вызовы или через io_uring."

Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.

3.34, Anonimous (?), 12:33, 25/04/2025 [^] [^^] [^^^] [ответить]	+/–
> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС. Скажи, в какой, если ты читал дальше

4.39, n00by (ok), 14:02, 25/04/2025 [^] [^^] [^^^] [ответить]	+/–
>> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС. > Скажи, в какой, если ты читал дальше Скажу, что ты слишком поторопился с троллингом. Ответ дан в самом первом (по времени) моём сообщении в этой теме. Попробуй его найти -- так ты покажешь, что есть хоть какой-то смысл с тобой говорить.

1.14, Аноним (14), 02:09, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя и, опционально, защищаемой нагрузки. User-mode rootkit это программа, подменяющая библиотеки и утилиты на подкрученные. Toolchain-level rootkit - это подкрученный toolchain. Программа же, просто использующая непокрытую функциональность, непокрытую по той простой причине, что эта функциональность намеренно ускорена для HPC, для тех, кому нужна максимальная скорость во что бы то ни стало, кто специально ради этого готов пожертвовать безопасностью (именно поэтому io_uring требует спец. привилегий) - это не руткит.

2.26, n00by (ok), 10:24, 25/04/2025 [^] [^^] [^^^] [ответить]	+3 +/–
Удивительно, что kernel-mode руткит может вообще ничего не хукать, но вышеотписавшийся эксперт ни за что его не найдёт. Например, эпический случай, когда драйвер первых версий Rustock просто лежал в ADS.

3.42, Аноним (42), 16:27, 25/04/2025 [^] [^^] [^^^] [ответить]	+/–
Если не хукает - то это не руткит. Смысл руткита - "мы вот сейчас сторожей подправим, так как самих сторожей сторожить некому".

4.51, Аноним (48), 23:03, 26/04/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Смысл руткита — получить перманентный контроль над системой. А не вот это твоё словоблудие.

5.54, Аноним (54), 16:16, 27/04/2025 [^] [^^] [^^^] [ответить]	+/–
Чтобы перманентный контроль за системой получить достаточно в состав Microsoft Office или любой мега-нужной программы свой код внести. С крючка скот не соскочит, даже если всё делать явно и открыто. Внесёшь винду, офис и фотошоп в список руткитов? Нет, руткит - это средство сокрытия, а не закрепления. Средства закрепления - это бэкдоры и импланты.

6.56, n00by (ok), 12:38, 29/04/2025 [^] [^^] [^^^] [ответить]

+/–

> Нет, руткит - это средство сокрытия, а не закрепления. Средства закрепления -
> это бэкдоры и импланты.

Совершенно внезапно для эксперта по руткитам, скрытие является одним из действенных способов закрепления, поскольку мешает обнаружению, а следовательно и удалению.

А на тему, является ли Rustock руткитом, советую писать филиппики в антивирусные лаборатории и прочим исследователям, кто составлял отчёты по нему.

4.57, n00by (ok), 12:47, 29/04/2025 [^] [^^] [^^^] [ответить]

+/–

> Если не хукает - то это не руткит.

Тянет на величайшее научное открытие. А самый руткитный руткит - Microsoft Detours, не иначе.

> Смысл руткита - "мы
> вот сейчас сторожей подправим, так как самих сторожей сторожить некому".

Смысл в том, что есть цели, а есть средства для их достижения. Хук -- далеко не единственное средство для достижения цели. При этом сам хук может быть обнаружен, то есть не является надёжным решением. Потому одни просто лежали в ADS, а другие ещё проще -- удаляли себя.

1.15, Аноним (15), 02:26, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Надо взять ядро 2.6, залатать все дыры и уязвимости в нем, и не трогать. Писать только модули к нему, а код ядра заморозить. Кстати, вопрос, где смотреть сколько уязвимостей еще осталось в старых ядрах? На всяких cve базах не очень понятно, толи есть они, толи все залатали уже.

2.22, 1 (??), 09:18, 25/04/2025 Скрыто ботом-модератором [к модератору]	+/–

2.28, n00by (ok), 10:35, 25/04/2025 [^] [^^] [^^^] [ответить]	+/–
Это не про дыры, а про отсутствие защитного механизма в ядре. Так что надо внедрить подписи, UEFI, ну и засунуть PatсhGuard в Microsoft Pluton. ;)

2.31, Герострат (?), 11:41, 25/04/2025 [^] [^^] [^^^] [ответить]	+/–
Ок, делай

2.32, Аноним (32), 12:22, 25/04/2025 [^] [^^] [^^^] [ответить]	+/–
Но контейнеризация, всё-таки, нужна. Поэтому всё, что касается пространств имён придётся портирровать.

2.43, Электрон (?), 16:33, 25/04/2025 [^] [^^] [^^^] [ответить]	+/–
Нигде. Линукс CVE не вел, их философия: всё в git log. Читайте и вчитывайтесь.

1.16, Аноним (16), 02:51, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Следующая новость -- опасность руткитов из-за

>> появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам.

BPF руткиты облепили LSM своими липкими хуками!

2.19, Жироватт (ok), 08:03, 25/04/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Мой байт-код ОПТИМИЗИРОВАННЕЕ, чем твой байт-код. И хватит тут постоянно поминать своё липкий хук - мы всё-таки в приличном месте, тут дамы.

2.27, n00by (ok), 10:31, 25/04/2025 [^] [^^] [^^^] [ответить]	+/–
В каждой шутке есть доля шутки. Примерно так оно и развивалось в другой ОС. С чем и советуют ознакомиться авторы прототипа.

1.21, Шарп (ok), 09:12, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Не могут 10 лет родить асинхронный API.

2.33, Аноним (32), 12:31, 25/04/2025 [^] [^^] [^^^] [ответить]	–1 +/–
Чем epoll не асинхронный? Давно рождён.

2.38, vitalif (ok), 13:45, 25/04/2025 [^] [^^] [^^^] [ответить]	+2 +/–
Так как раз родили. Но теперь секукакурщики завыли что распарсить его не могут. Привыкли к синхронному г**ну

1.23, n00by (ok), 10:12, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Обнулили заодно местных анонимных экспертов, с важным видом поплёвывающих со своего дивана на советы начать с книжки Грега Хоглунда. "Before we dive into the Linux ecosystem, let’s take a look at Windows because it highlights processes that need to be adopted in Linux."

2.49, Аноним (48), 22:43, 26/04/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Нет времени книжки читать, надо хейтить micro$oft и билли.

3.53, Аноним (53), 11:58, 27/04/2025 [^] [^^] [^^^] [ответить]

+/–

Да, не, чушь какая-то. Там люди вон пишут, но мало ли что они пишут

IoRing brings improvements, yes, but isn't a replacement of IOCP. We should see improvements in any mainstream kernel as a good thing. It's progress. And hopefully the Linux kernel gets to full async I/O at some point in the future.

but unlike io_uring which applies to a single function, all I/O in the NT kernel is asynchronous. IOCP acts on file, network, mail slot, pipes, etc.
IoRing/io_uring is for files only. RegisteredIO is network only.
While Windows userland itself may be a 'mess' and archaic in it's own way (among the other anti-consumer bits), the NT kernel is technically quite advanced, not only for it's time, but at the present time.

1.29, Аноним (-), 10:50, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ого, вот тебе и безопасный линукс для которого "нет вирусов как в отсталой винде") А ведь не первый раз. Bvp47 десять лет жил.

1.30, Аноним (30), 11:13, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Кстати, кто что посоветует из адекватного современного, чем сейчас выявляют руткиты и вот это вот все? rkhunter не предлагать, смешно же.

2.40, n00by (ok), 14:19, 25/04/2025 [^] [^^] [^^^] [ответить]	+/–
Где выявлять и зачем? Верный способ остановить этот парад мракобесия: специально обученные люди обнаруживают в специально отведённом месте, а следом применяют административные меры к главарям секты "Вирусовнет", объявляя их соучастниками в утечках персданных и прочего.

3.52, Аноним (52), 01:56, 27/04/2025 [^] [^^] [^^^] [ответить]	+/–
Так вирусов нет, за пределами специально отведённых мест. А специально обученные люди, поправ должностные обязанности и технический долг, сами атакуют людей в локалке, которую обязались защищать, и сливают персональные данные клиентов, которые обязались сохранить.

1.36, Аноним (36), 13:30, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
как обычно мой дебиан в пролёте... на 4.19 ведре даже руткит не заработает...

1.41, OpenEcho (?), 15:25, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Чтоб не ждать 6.6

io_uring_setup => SELinux/AppArmor

+ seccomp для фильтрации io_uring syscalls

1.44, Электрон (?), 16:36, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

> которые не анализируются типовыми инструментариями для выявления вредоносной активности.

Сколько io_uring лет? Что product managerы делают во время работы?

> рекомендовано использовать механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам

Ещё раз пять лет. Деньги платятся за плацебо и "чтоб было" из-за бюрократическо-юридических соображений.

1.45, Аноним (45), 17:03, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Подразумевается, что после успешной компрометации системы и получения прав root Очередной молдавский вирус?

2.50, Аноним (48), 22:48, 26/04/2025 [^] [^^] [^^^] [ответить]	+/–
Как будто в софте, который от рута на этом линуксе запущен никогда локальных повышений привилегий не находили и новых не найдут, ага. И можешь мне не рассказывать, как у тебя нет нигде недоверенного кода.

1.46, 12yoexpert (ok), 17:43, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
как запустить?

1.47, Аноним (47), 22:17, 25/04/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ой-ой как же так получилось? Может просто признать, что обнаружение руткита не доступно процессам из юзерленда.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: