RingReaper je nova družina zlonamerne programske opreme, ki cilja na sisteme Linux in izstopa po svoji sposobnosti izogibanja običajnim obrambnim ukrepom končnih točk. Z uporabo asinhronih tehnik V/I ta agent po vdoru izvaja prikrite naloge z minimalnim odtisom za nadzorne sisteme.
Ključ do njegove prikritosti je v uporaba io_uring, sodoben vmesnik jedra, ki omogoča zamenjavo običajnih sistemskih klicev z visokozmogljivimi asinhronimi operacijami, pri čemer rešitve EDR, ki temeljijo na kavljih in filtriranju sistemskih klicev, ostanejo v temi.
Kaj je RingReaper in zakaj je pomemben
Prepoznali so ga analitiki Picus Security Kot agent po izkoriščanju se RingReaper ne osredotoča na začetni vdor, temveč na tiho delo, ki sledi: prepoznavanje, zbiranje podatkov in vztrajnost, vse z metodičnim pristopom, ki otežuje odkrivanje.
Vpliv presega osamljen primer zlonamerne programske opreme: njen uspeh dokazuje Sistemska vrzel v strategijah, ki se zanašajo na prestrezanje sistemskih klicev, saj so dejavnosti, ki se prenašajo prek io_uringa, večinoma zunaj obsega tradicionalne telemetrije.
Kako se RingReaper izogne odkrivanju z io_uring
Namesto klicanja tipičnih funkcij, kot je read, write, recv, send o connect, RingReaper se zateče k vnos_v_primitive (npr. io_uring_prep_*()), zmanjšanje šuma sistemskih klicev in izogibanje kavljem EDR.
Ta zamenjava izvedbenih poti ustvarja slepo cono za orodja, ki pričakujejo sinhrone vzorce, in pušča manj forenzičnih sledi, še posebej, kadar operacije vplivajo na strukture jedra ali virtualni datotečni sistem /proc.
Zmogljivosti, opažene v fazi po izkoriščanju
Med izvidovanjem procesa (MITRE ATT&CK T1057), RingReaper navaja procese in podrobnosti o lastništvu prek asinhronih poizvedb do /proc, ki posnema pripomočke, kot so ps brez sprožitve običajnih opozoril.
Za preslikavo aktivnih uporabnikov in sej (ATT&CK T1033), analize /dev/pts in vstopnice od /proc da bi prepoznali končno aktivnost in potencialne površine za lateralno gibanje ali plezanje.
V inventarju povezav (ATT&CK T1049), asinhrono zaslišuje tabele in vtičnice omrežja jedra, pri čemer podvaja funkcije netstat/ss brez zatekanja k sinhronim klicem, kar zmanjšuje njihovo vidnost.
Za zbiranje podatkov (ATT&CK T1005), lahko iz datotek izvleče občutljive podatke, kot so /etc/passwd brez uporabe vidnih orodij (cat, getent) in za povečanje privilegijev (ATT&CK T1068) avtomatizira iskanje binarnih datotek SUID in izkoriščevalnih ranljivosti.
Tovor in način delovanja
Operator nastavi delovni imenik ($WORKDIR) iz katerega tečeš specializirani moduli ki zajemajo ločene naloge in usmerjajo vse operacije skozi io_uring, da ostanejo neopaženi.
"$WORKDIR"/cmdMey"$WORKDIR"/executePs: naštevanje procesov in sistemskih metapodatkov prek poizvedb do/proc."$WORKDIR"/netstatConnections: popis priključkov in vtičnic iz tabel jedrnega omrežja, prikrita alternativa anetstat."$WORKDIR"/loggedUserskorelacija Seje PTS y Aktivni uporabniki skozi/dev/ptsy/proc."$WORKDIR"/fileRead: asinhrono branje občutljivih datotek, kot so/etc/passwd."$WORKDIR"/privescChecker: Preverjanje binarnega SUID-a in pogoji skaliranja."$WORKDIR"/selfDestruct: asinhrono brisanje lastnih artefaktov, da bi bilo težko forenzična analiza.
Posebej je treba omeniti mehanizem samoohranitevAsinhrono brisanje binarnih datotek in sledi se izogne običajnim monitorjem delovanja datotek in preveri čistočo datotek, da zmanjša porabo.
Posledice za obrambo
Arhitekture, ki se zanašajo na prestrezanje sistemskih klicev in standardni vzorci orodij naletijo na opazne vrzeli: če aktivnost teče skozi io_uring, velik del pričakovanega signala ne doseže telemetrije EDR.
Ta pristop označuje prevojna točka pri uporabi legitimnih vmesnikov jedra za izogibanje nadzoru in pričakuje nadaljnje sprejemanje s strani iznajdljivih akterjev v strežniških okoljih Linux in nalaganja v oblak.
Kazalniki ogrožanja in strategije odkrivanja
Varnostne ekipe bi morale dati prednost med revizijoklici kot io_uring_setup ali vzorce io_uring_prep_*() v nestandardnih binarnih datotekah, še posebej, če se nahajajo v uporabniških imenikih ali začasnih poteh.
Vredno je opozoriti na anomalne odčitke de /proc, /dev/pts o /etc/passwd izvajajo procesi, ki ne kličejo običajnih pripomočkov (ps, who, netstat), vendar kažejo enakovredne rezultate.
Drugi namigi vključujejo naštevanje omrežij z nizkim šumom sistemskih klicev, samodejnim brisanjem izvedljivih datotek in ponavljajočimi se zaporedji modulov iz istega $WORKDIR, korelirano v majhnih časovnih oknih.
Kot blažilni ukrepi je priporočljivo okrepiti spremljanje Med izvajanjem jedra povežite vedenje na ravni procesov in, kjer je to izvedljivo, omejite ali onemogočite vnos/izhod v sistemih, kjer to ni nujno.
Pojav RingReaperja potrjuje zlorabo io_uring se je premaknil iz teorije v prakso: agent po izkoriščanju, ki je sposoben prepoznavanja, zbiranja in skrivanja z asinhronimi operacijami, kar zahteva pregled vidnosti EDR, razširitev opazovalnosti jedra in prilagoditev kontrolnikov v Linuxu, da se zapolnijo vrzeli, ki jih trenutno izkorišča.
