Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов"	+/–
Сообщение от opennews (??), 24-Апр-25, 22:25
Исследователи из компании ARMO продемонстрировали возможность создания руткитов, не использующих специфичные системные вызовы для выполнения типовых операций, таких как чтение/запись файлов и приём команд от внешнего сервера. Вместо системных вызовов для выполнения сетевых и файловых операций предложено использовать интерфейс асинхронного ввода/вывода io_uring, поддерживаемый начиная с ядра Linux 5.1... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63136
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 24-Апр-25, 22:25	–1 +/–
> В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий в контейнерах Хостовая система не видит, что происходит в контейнере? Или эти "инструменты" в тех же ns работают?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от Аноним (2), 24-Апр-25, 22:26	+2 +/–
Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от Аноним (1), 24-Апр-25, 22:39	+3 +/–
> это вам не виртуализация. https://ru.wikipedia.org/wiki/%D0%9A%D0%... Вообще контейнеризация относится к виртуализации (что как по мне странно). > Конечно видит, ядро же общее для всех контейнеров, Вот я тоже не понял, как из непривилегированного контейнера можно что-то там скрыть, без LPE на уровне ядра. А то что васяноподелки... То есть "инструменты мониторинга" что-то там не видят, то вопрос к их создателям.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13, #18

4. Сообщение от ИмяХ (ok), 24-Апр-25, 22:50	+6 +/–
Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая парадная дверь для вредноносов. А вы не послушали. Вот теперь расхлёбывайте.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #9, #24, #37

5. Сообщение от Аноним (5), 24-Апр-25, 23:09	+1 +/–
Кому это нам? Линусу и Ко? Так им пофиг на мнение каких-то там анонимов с опеннета. Денежки получили, теперь ещё заработают на закрытии этой дыры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от Аноним (6), 24-Апр-25, 23:29	+6 +/–
И набегут новые "мейнтейнеры", чтобы предложить io_uring переписывать на Rust.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от нах. (?), 24-Апр-25, 23:31	+/–
Ураааа! Наконец-то хоть какая-то польза простым смертым от этой иоурины, попереломавшей все файловые системы!
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (6), 24-Апр-25, 23:32	+9 +/–
>механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам Предлагается детектить активность одного руткита с помощью другого.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #48

9. Сообщение от нах. (?), 24-Апр-25, 23:32	+/–
мне не говорили. Я думал что это улучшайкерство само по себе вредонос (неотключаемый бай дизайн, как всегда), а оно эвон как еще могет!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

12. Сообщение от мяв (?), 25-Апр-25, 01:05	+1 +/–
так.. все равно происходит чтение, все равно происходит подключение к сети. я дальше половины новости не читала, но даже если это модуль ядра - будет чтение файла и отправка со стороны ядра. MACи это явно увидят, lsm не дураками делался. ровно, как и подсистема аудита.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

13. Сообщение от АнонимЯ (?), 25-Апр-25, 02:07	+4 +/–
> Вообще контейнеризация относится к виртуализации (что как по мне странно). Просто не читайте до обеда википедию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

14. Сообщение от Аноним (14), 25-Апр-25, 02:09	+4 +/–
Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя и, опционально, защищаемой нагрузки. User-mode rootkit это программа, подменяющая  библиотеки и утилиты на подкрученные. Toolchain-level rootkit - это подкрученный toolchain. Программа же, просто использующая непокрытую функциональность, непокрытую по той простой причине, что эта функциональность намеренно ускорена для HPC, для тех, кому нужна максимальная скорость во что бы то ни стало, кто специально ради этого готов пожертвовать безопасностью (именно поэтому io_uring требует спец. привилегий) - это не руткит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

15. Сообщение от Аноним (15), 25-Апр-25, 02:26	+1 +/–
Надо взять ядро 2.6, залатать все дыры и уязвимости в нем, и не трогать. Писать только модули к нему, а код ядра заморозить. Кстати, вопрос, где смотреть сколько уязвимостей еще осталось в старых ядрах? На всяких cve базах не очень понятно, толи есть они, толи все залатали уже.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22, #28, #31, #32, #43

16. Сообщение от Аноним (16), 25-Апр-25, 02:51	+/–
Следующая новость -- опасность руткитов из-за >> появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам. BPF руткиты облепили LSM своими липкими хуками!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #27

18. Сообщение от Аноним (18), 25-Апр-25, 07:58	+4 +/–
Ничего странного, как всегда надо начинать с определений - они могут сильно отличаться у разных групп. Например,  виртуализация может быть разного уровня - железа, ядра, ос, прикладного. Как пример последнего - пачка разнородных питоновских окружений, каждый со своим интерпретатором и набором библиотек/их версий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

19. Сообщение от Жироватт (ok), 25-Апр-25, 08:03	+1 +/–
Мой байт-код ОПТИМИЗИРОВАННЕЕ, чем твой байт-код. И хватит тут постоянно поминать своё липкий хук - мы всё-таки в приличном месте, тут дамы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

20. Сообщение от Аноним (20), 25-Апр-25, 08:44	+/–
Ради вашей безопасности, из за того что у них там в разработке (т.е он не работает на нормальной системе) руткит, предлагается : разрешить BPF, и прикреплять BPF-программы к любым LSM-хукам. Ну прям классический развод про дыры ради безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

21. Сообщение от Шарп (ok), 25-Апр-25, 09:12	+/–
Не могут 10 лет родить асинхронный API.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #38

22. Сообщение от 1 (??), 25-Апр-25, 09:18    Скрыто ботом-модератором	+/–
Чё 2.6 то ? 2.4 - самое православное ядро !
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

23. Сообщение от n00by (ok), 25-Апр-25, 10:12	+1 +/–
Обнулили заодно местных анонимных экспертов, с важным видом поплёвывающих со своего дивана на советы начать с книжки Грега Хоглунда. "Before we dive into the Linux ecosystem, let’s take a look at Windows because it highlights processes that need to be adopted in Linux."
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

24. Сообщение от n00by (ok), 25-Апр-25, 10:14	+2 +/–
Это не про io_uring, а про несостоятельность eBPF-фильтрации вообще как методики обнаружения руткитов. Что давно было показано в другой ОС: если "антируткит" где-то наставил хуков, значит надо идти другим путём.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

25. Сообщение от n00by (ok), 25-Апр-25, 10:22	+/–
А надо было читать дальше: "вместо перехвата системных вызовов рекомендовано использовать механизм KRSI ... даёт возможность отслеживать ... независимо от того, инициированы данные операции через специфичные системные вызовы или через io_uring." Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #34

26. Сообщение от n00by (ok), 25-Апр-25, 10:24	+3 +/–
Удивительно, что kernel-mode руткит может вообще ничего не хукать, но вышеотписавшийся эксперт ни за что его не найдёт. Например, эпический случай, когда драйвер первых версий Rustock просто лежал в ADS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #42

27. Сообщение от n00by (ok), 25-Апр-25, 10:31	+/–
В каждой шутке есть доля шутки. Примерно так оно и развивалось в другой ОС. С чем и советуют ознакомиться авторы прототипа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

28. Сообщение от n00by (ok), 25-Апр-25, 10:35	+/–
Это не про дыры, а про отсутствие защитного механизма в ядре. Так что надо внедрить подписи, UEFI, ну и засунуть PatсhGuard в Microsoft Pluton. ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

29. Сообщение от Аноним (-), 25-Апр-25, 10:50	+/–
Ого, вот тебе и безопасный линукс для которого "нет вирусов как в отсталой винде") А ведь не первый раз. Bvp47 десять лет жил.
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Аноним (30), 25-Апр-25, 11:13	+1 +/–
Кстати, кто что посоветует из адекватного современного, чем сейчас выявляют руткиты и вот это вот все? rkhunter не предлагать, смешно же.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

31. Сообщение от Герострат (?), 25-Апр-25, 11:41	+/–
Ок, делай
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

32. Сообщение от Аноним (32), 25-Апр-25, 12:22	+/–
Но контейнеризация, всё-таки, нужна. Поэтому всё, что касается пространств имён придётся портирровать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

33. Сообщение от Аноним (32), 25-Апр-25, 12:31	–1 +/–
Чем epoll не асинхронный? Давно рождён.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

34. Сообщение от Anonimous (?), 25-Апр-25, 12:33	+/–
> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС. Скажи, в какой, если ты читал дальше
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #39

36. Сообщение от Аноним (36), 25-Апр-25, 13:30	+1 +/–
как обычно мой дебиан в пролёте... на 4.19 ведре даже руткит не заработает...
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от vitalif (ok), 25-Апр-25, 13:44	+3 +/–
io_uring офигенная вещь, а то что какие-то перехватывалки в неё не научились - это проблема не уринга, а перехватывалок как бы данные там все в момент io_uring_enter очевидно доступны - информация о системных вызовах лежит в памяти в кольцевом буфере. анализируй не хочу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

38. Сообщение от vitalif (ok), 25-Апр-25, 13:45	+2 +/–
Так как раз родили. Но теперь секукакурщики завыли что распарсить его не могут. Привыкли к синхронному г**ну
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

39. Сообщение от n00by (ok), 25-Апр-25, 14:02	+/–
>> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС. > Скажи, в какой, если ты читал дальше Скажу, что ты слишком поторопился с троллингом. Ответ дан в самом первом (по времени) моём сообщении в этой теме. Попробуй его найти -- так ты покажешь, что есть хоть какой-то смысл с тобой говорить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

40. Сообщение от n00by (ok), 25-Апр-25, 14:19	+/–
Где выявлять и зачем? Верный способ остановить этот парад мракобесия: специально обученные люди обнаруживают в специально отведённом месте, а следом применяют административные меры к главарям секты "Вирусовнет", объявляя их соучастниками в утечках персданных и прочего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #52

41. Сообщение от OpenEcho (?), 25-Апр-25, 15:25	+/–
Чтоб не ждать 6.6 io_uring_setup => SELinux/AppArmor + seccomp для фильтрации io_uring syscalls
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Аноним (42), 25-Апр-25, 16:27	+/–
Если не хукает - то это не руткит. Смысл руткита - "мы вот сейчас сторожей подправим, так как самих сторожей сторожить некому".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #51, #57

43. Сообщение от Электрон (?), 25-Апр-25, 16:33	+/–
Нигде. Линукс CVE не вел, их философия: всё в git log. Читайте и вчитывайтесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

44. Сообщение от Электрон (?), 25-Апр-25, 16:36	+1 +/–
> которые не анализируются типовыми инструментариями для выявления вредоносной активности. Сколько io_uring лет? Что product managerы делают во время работы? > рекомендовано использовать механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам Ещё раз пять лет. Деньги платятся за плацебо и "чтоб было" из-за бюрократическо-юридических соображений.
Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от Аноним (45), 25-Апр-25, 17:03	+/–
> Подразумевается, что после успешной компрометации системы и получения прав root Очередной молдавский вирус?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

46. Сообщение от 12yoexpert (ok), 25-Апр-25, 17:43	+/–
как запустить?
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (47), 25-Апр-25, 22:17	+/–
Ой-ой как же так получилось? Может просто признать, что обнаружение руткита не доступно процессам из юзерленда.
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от Аноним (48), 26-Апр-25, 22:28	+/–
Придумаешь как сделать лучше — пиши. Инвестирую в твой стартап.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

49. Сообщение от Аноним (48), 26-Апр-25, 22:43	+1 +/–
Нет времени книжки читать, надо хейтить micro$oft и билли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #53

50. Сообщение от Аноним (48), 26-Апр-25, 22:48	+/–
Как будто в софте, который от рута на этом линуксе запущен никогда локальных повышений привилегий не находили и новых не найдут, ага. И можешь мне не рассказывать, как у тебя нет нигде недоверенного кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

51. Сообщение от Аноним (48), 26-Апр-25, 23:03	+1 +/–
Смысл руткита — получить перманентный контроль над системой. А не вот это твоё словоблудие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #54

52. Сообщение от Аноним (52), 27-Апр-25, 01:56	+/–
Так вирусов нет, за пределами специально отведённых мест. А специально обученные люди, поправ должностные обязанности и технический долг, сами атакуют людей в локалке, которую обязались защищать, и сливают персональные данные клиентов, которые обязались сохранить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

53. Сообщение от Аноним (53), 27-Апр-25, 11:58	+/–
Да, не, чушь какая-то. Там люди вон пишут, но мало ли что они пишут IoRing brings improvements, yes, but isn't a replacement of IOCP. We should see improvements in any mainstream kernel as a good thing. It's progress. And hopefully the Linux kernel gets to full async I/O at some point in the future. but unlike io_uring which applies to a single function, all I/O in the NT kernel is asynchronous. IOCP acts on file, network, mail slot, pipes, etc. IoRing/io_uring is for files only. RegisteredIO is network only. While Windows userland itself may be a 'mess' and archaic in it's own way (among the other anti-consumer bits), the NT kernel is technically quite advanced, not only for it's time, but at the present time.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

54. Сообщение от Аноним (54), 27-Апр-25, 16:16	+/–
Чтобы перманентный контроль за системой получить достаточно в состав Microsoft Office или любой мега-нужной программы свой код внести. С крючка скот не соскочит, даже если всё делать явно и открыто. Внесёшь винду, офис и фотошоп в список руткитов? Нет, руткит - это средство сокрытия, а не закрепления. Средства закрепления - это бэкдоры и импланты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #56

56. Сообщение от n00by (ok), 29-Апр-25, 12:38	+/–
> Нет, руткит - это средство сокрытия, а не закрепления. Средства закрепления - > это бэкдоры и импланты. Совершенно внезапно для эксперта по руткитам, скрытие является одним из действенных способов закрепления, поскольку мешает обнаружению, а следовательно и удалению. А на тему, является ли Rustock руткитом, советую писать филиппики в антивирусные лаборатории и прочим исследователям, кто составлял отчёты по нему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

57. Сообщение от n00by (ok), 29-Апр-25, 12:47	+/–
> Если не хукает - то это не руткит. Тянет на величайшее научное открытие. А самый руткитный руткит - Microsoft Detours, не иначе. > Смысл руткита - "мы > вот сейчас сторожей подправим, так как самих сторожей сторожить некому". Смысл в том, что есть цели, а есть средства для их достижения. Хук -- далеко не единственное средство для достижения цели. При этом сам хук может быть обнаружен, то есть не является надёжным решением. Потому одни просто лежали в ADS, а другие ещё проще -- удаляли себя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема