🥇Прототип на руткит за Linux, използвайки io_uring за заобикаляне на анализаторите на системни повиквания

Изследователи от ARMO демонстрираха осъществимостта на създаването на руткитове, които не използват специфични системни извиквания за извършване на често срещани операции, като четене/запис на файлове и получаване на команди от външен сървър. Вместо системни извиквания, те предлагат да се използва асинхронният входно-изходен интерфейс io_uring, поддържан от ядрото, за извършване на мрежови и файлови операции. Linux 5.1.

Същността на метода е, че вместо отделни системни извиквания за достъп до файлове и извършване на мрежови операции (четене/запис, recv/send/connect/bind/listen), можете да използвате общи системни извиквания на io_uring (io_uring_enter, io_uring_setup, io_uring_register и т.н.), които не се анализират от стандартните инструменти за откриване на злонамерена активност. Интерфейсът io_uring поддържа около 60 различни операции. В процес на разработка е функция, която позволява стартирането на нови процеси чрез io_uring.

За да се демонстрира работата на метода, е подготвен прототип на руткита Curing, който извършва действия като получаване на команди от външен източник. сървър и прехвърляне/модифициране на файлове. Демонстрацията включваше изпращане на заявка до TCP порт 8888 на външен хост и изпращане на съдържанието на файла "/etc/shadow". Изводът е, че след успешно компрометиране на системата и получаване на root права, атакуващият инсталира руткит, за да установи присъствие в компрометираната система.

В експеримента активността на руткита Curing не беше открита от инструментите за мониторинг Falco и Tetragon, които се използват за откриване на аномалии, свързани със сигурността, на хостове и контейнери (поддържа се интеграция с инфраструктура, базирана на Kubernetes). Тези инструменти използват прихващане на системни повиквания, за да анализират събития като стартиране на процеси, мрежова активност и манипулиране на файлове, но не вземат предвид възможността за използване на подсистемата io_uring за такива операции. Повечето инструменти, достъпни за... Linux Системите за откриване и реагиране на инциденти, свързани с търговската сигурност, също разчитат на прихващане на системни повиквания.

За да се избегне заобикалянето на инструментите за наблюдение на мрежовата и файловата активност, вместо да се прихващат системни повиквания, се препоръчва да се използва механизмът KRSI (Kernel Runtime Security Instrumentation), който се появи в ядрото. Linux 5.7, което позволява BPF програми да бъдат прикачени към всяка LSM кука. Например, KRSI, на ниво LSM кука, позволява наблюдение на файлови операции, мрежов достъп и стартиране на процеси, независимо дали тези операции са инициирани чрез специфични системни извиквания или чрез io_uring.

Подсистемата io_uring е била обект на критики поради редовната поява на сериозни уязвимости. В отговор на потребителски заявки за прост инструмент за деактивиране на io_uring без престрояване на ядрото, ядрото е актуализирано. Linux 6.6 добави системната команда io_uring_disabled. Google деактивира io_uring по подразбиране в ChromeOS. Android и сами сървъри, обяснявайки, че лошата ситуация със сигурността при io_uring надвишава предимствата за производителността от използването на io_uring.

Източник: opennet.ru