RingReaper: io_uring を使って隠れる Linux マルウェア

  • RingReaper は io_uring を悪用して EDR をバイパスし、テレメトリを削減します。
  • 侵入があった場合、偵察、収集、エスカレーションを行って対処します。
  • cmdMe、executePs、netstatConnections、selfDestruct などのペイロードを使用します。
  • 検出: io_uring を監査し、/proc アクセスと異常なパターンを監視します。
Pablinux

4分

リングリーパー

リングリーパー Linuxシステムを標的とする新しいマルウェアファミリーで、従来のエンドポイント防御を回避する能力に優れています。この侵入後エージェントは、非同期I/O技術を用いて、監視システムへの影響を最小限に抑えながら、秘密裏にタスクを実行します。

そのステルスの鍵は io_uringの使用は、従来のシステム コールを高性能な非同期操作に置き換え、フックベースの EDR ソリューションとシステム コール フィルタリングを回避できる最新のカーネル インターフェイスです。

RingReaperとは何か、そしてなぜ重要なのか

Picus Securityのアナリストによって特定された ポストエクスプロイトエージェントである RingReaper は、最初の侵入ではなく、その後のサイレント作業に重点を置いています。 認識、データ収集、持続性これらはすべて、検出を複雑にする体系的なアプローチを採用しています。

その影響は単なるマルウェアの事例にとどまらない。その成功は、 システムコールのインターセプトに依存する戦略における体系的なギャップio_uring を通じて伝達されるアクティビティは、主に従来のテレメトリの範囲外であるためです。

RingReaperがio_uringを使って検出を回避する方法

次のような典型的な関数を呼び出す代わりに read, write, recv, send o connect、リングリーパーは io_uringプリミティブ (たとえば、 io_uring_prep_*())、システムコールのノイズを削減し、EDR フックを回避します。

この実行パスの置換 同期パターンを期待するツールの盲点を作成し、フォレンジックの痕跡を少なくします。特にカーネル構造や仮想ファイルシステムに影響を与える操作の場合 /proc.

搾取後の段階で観察される能力

プロセス偵察中(MITRE ATT&CK T1057)、RingReaperは非同期クエリを通じてプロセスと所有権の詳細をリストします。 /proc、次のようなユーティリティをエミュレートします ps 一般的なアラートをトリガーすることなく。

アクティブユーザーとセッションのマッピング(ATT&CK T1033)、分析 /dev/pts とからのチケット /proc 末端の活動と、横方向の移動や登攀の可能性のある表面を特定するため。

接続インベントリ(ATT&CK T1049)は、カーネルネットワークテーブルとソケットを非同期に照会し、 netstat/ss 同期呼び出しに頼ることなく、可視性を低減します。

データ収集(ATT&CK T1005)は、次のようなファイルから機密情報を抽出できます。 /etc/passwd 目に見える道具を使わずに(cat, getent)、および権限の昇格(ATT&CK T1068) は、SUID バイナリと悪用可能な脆弱性の検索を自動化します。

ペイロードと動作モード

オペレータは作業ディレクトリ($WORKDIR)から実行します 特殊モジュール 個別のタスクをカプセル化し、すべての操作を io_uring 経由で処理して、目立たないようにします。

  • "$WORKDIR"/cmdMe y "$WORKDIR"/executePs: 列挙 プロセスとシステムメタデータをクエリ経由で /proc.
  • "$WORKDIR"/netstatConnections: 接続とソケットのインベントリ カーネルネットワークテーブルから、 ステルス代替品 a netstat.
  • "$WORKDIR"/loggedUsers:相関関係 PTSセッション y アクティブユーザー 介して /dev/pts y /proc.
  • "$WORKDIR"/fileRead: 非同期読み取り 機密ファイルなど /etc/passwd.
  • "$WORKDIR"/privescChecker: SUIDバイナリチェック およびスケーリング条件。
  • "$WORKDIR"/selfDestruct: 非同期削除 困難にするために彼ら自身の遺物を フォレンジック分析.

特に注目すべきは、 自己保存: 非同期バイナリおよびトレース消去により、従来のファイル操作モニターが回避され、ファイルのクリーン性が検証されてフットプリントが最小限に抑えられます。

防衛への影響

依存するアーキテクチャ システムコールインターセプション 標準ツール パターンでは、顕著なギャップが発生します。アクティビティが io_uring を通過すると、予想される信号の多くが EDR テレメトリに到達しません。

このアプローチは、 変曲点 正当なカーネルインターフェースを使用して制御を回避することで、サーバー環境でリソースの豊富なアクターによるさらなる採用が予想されます。 Linux クラウドにアップロードします。

侵害の兆候と検出戦略

セキュリティチームは優先順位を付ける必要がある io_uring監査:のような呼び出し io_uring_setup またはパターン io_uring_prep_*() 非標準バイナリの場合、特にユーザー ディレクトリまたは一時パスに存在する場合。

注意すべき点 異常な測定値 de /proc, /dev/pts o /etc/passwd 共通ユーティリティを呼び出さないプロセスによって実行される(ps, who, netstat) ですが、同等の結果を示します。

その他の手がかりとしては ネットワーク列挙 システムコールのノイズが少なく、実行ファイル自体が削除され、同じモジュールの繰り返しシーケンスが $WORKDIR、短い時間枠内で相関しています。

緩和策としては、 監視を強化する カーネル実行時に、プロセス レベルの動作を相関させ、可能であれば、必須ではないシステムでは io_uring を制限または無効にします。

リングリーパーの出現は、 io_uring 理論から実践へと移行しました。非同期操作で認識、収集、隠蔽できるポストエクスプロイト エージェントでは、EDR の可視性を見直し、カーネルの観測可能性を拡張し、Linux の制御を調整して現在エクスプロイトされているギャップを埋める必要があります。

関連記事
Linuxデバイスを標的とするマルウェアは35年に2021%増加しました