HackerNews 编译,转载请注明出处:
安全研究人员发布了一款大多数现代Linux安全系统无法察觉其活动的rootkit。该恶意软件滥用了此前谷歌因安全风险在Android设备上禁用的性能优化方法。
攻击者可借此悄无声息地入侵Linux系统。总部位于特拉维夫的安全公司ARMO警告称,这暴露出大多数现代Linux安全检测方案存在关键漏洞。
黑客可利用“io_uring”方法实施绕过传统检测机制的恶意活动。多数CISO尚未意识到这一漏洞。
为验证该漏洞,研究人员公开了一款全功能rootkit。ARMO研究人员解释称:“安全工具的关键弱点在于过度依赖传统系统调用监控作为主要检测机制。虽然这种方法对多数威胁有效,但无法应对完全绕过系统调用的技术手段。”
“io_uring”漏洞利用并非新发现,安全专家普遍认为其存在安全隐患。2023年6月,谷歌得出结论称60%的漏洞赏金提交利用了“io_uring”组件,因此决定限制其在谷歌产品中的使用。目前Android应用无法访问该方法,且ChromeOS已彻底禁用该功能。
但在大多数Linux发行版中,该框架仍提供用于异步输入/输出处理的内核API,既能减少传统系统调用需求,又可加速特定操作。
ARMO指出:“io_uring”为攻击者提供了绕过安全产品依赖的典型系统调用的漏洞利用空间。该框架支持61种操作能力,包括网络和文件系统操作。
研究人员发现,这种攻击方式影响了eBPF技术——一种被云安全厂商广泛采用的监控技术。受此影响的安全工具包括Falco和Tetragon等。
研究人员表示:“当前Linux EDR领域的大多数商业解决方案都依赖系统调用钩子技术。测试发现多个知名商业产品存在此类检测漏洞。”
为何要发布rootkit?
研究人员希望通过发布名为Curing的全功能rootkit,提升网络安全界对攻击者仍在利用的隐蔽机制的认知。“过去两年已有文献详述如何利用该技术绕过检测机制,但多数网络安全厂商仍未解决该问题。”
rootkit是最危险的恶意软件类型之一,能为攻击者提供系统root权限并完美隐藏自身。Curing rootkit可与C2服务器通信、获取指令并无需系统调用即可执行。
“核心思路是证明io_uring支持如此多关键操作,足以在其基础上编写完整rootkit。”
该研究团队还解释了如何检测此类恶意软件,建议监控“io_uring”的异常使用,因为现代程序通常不会主动调用该接口。
Linux新推出的内核运行时安全检测机制(KRSI)能实现深度监控。即使隐藏的rootkit仍需执行某些可见操作(如读取或发送数据),这些行为仍可被捕捉。
“io_uring”机制自2019年5月5日发布的Linux 5.1版本开始存在。研究人员总结道:“这不仅是理论威胁——我们测试了包括Falco和Tetragon在内的主流安全方案,确认它们均无法检测此类攻击。鉴于Linux是云基础设施的基石,这项研究将影响所有相关企业。”
消息来源: cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
