explore una demostración vanguardista de un rootkit linux io_uring diseñado para eludir la detección por parte de las herramientas de seguridad tradicionales basadas en llamadas al sistema. aprenda cómo esta técnica avanzada pone de manifiesto las vulnerabilidades de las defensas del sistema y desafía la eficacia de las medidas de seguridad existentes.
Publicado el por Franck F.

Demostración de un rootkit linux io_uring que elude la detección por parte de herramientas de seguridad basadas en llamadas al sistema.

La introducción de io_uring en el kernel de Linux en 2019 supuso un gran avance para las operaciones de E/S asíncronas, mejorando actuación y eficacia. Sin embargo, su diseño ha abierto inadvertidamente una importante superficie de ataque para los rootkits. Demostraciones recientes revelan una nueva clase de rootkit que aprovecha la arquitectura de io_uring para eludir las herramientas de seguridad convencionales basadas en llamadas al sistema, como KernelCare, CrowdStrike y Symantec. Esta capacidad supone un reto alarmante para las organizaciones que confían en las suites de seguridad de McAfee, Palo Alto Networks, FireEye, Check Point, Kaspersky, Darktrace y Fortinet, que tradicionalmente vigilan las llamadas al sistema para detectar actividades maliciosas. La naturaleza sigilosa de estos rootkits exige una reevaluación crítica de las metodologías de supervisión de la seguridad en tiempo de ejecución en entornos Linux.

Comprender la interfaz io_uring de Linux y su explotación por los rootkits

El interfaz io_uring facilita la E/S asíncrona utilizando dos búferes circulares eficientes en memoria -la cola de envío (SQ) y la cola de finalización (CQ)- para coordinar el espacio de usuario y el núcleo. Este mecanismo elimina la necesidad de frecuentes llamadas al sistema, reduciendo así la latencia y la sobrecarga del sistema. Sin embargo, este cambio arquitectónico también significa que muchas herramientas de seguridad que dependen de la interceptación de llamadas al sistema se vuelven ciegas a las acciones realizadas a través de las colas io_uring.

  • Las herramientas de seguridad tradicionales supervisan las llamadas al sistema como leer(), escribir(), y abrir() ampliamente.
  • Las operaciones io_uring se producen principalmente a través de colas de memoria compartida, evitando las rutas típicas de syscall.
  • Los rootkits que aprovechan io_uring pueden realizar acciones maliciosas de E/S sin activar alertas basadas en syscall.

Este modus operandi permite el sigilo al evitar los ganchos del kernel empleados por herramientas como CrowdStrike y KernelCare, que están diseñadas para interceptar actividades de syscall para detección de amenazas.

Comparación entre la monitorización de llamadas al sistema y la detección de actividad de E/S basada en io_uring

Enfoque de seguridad Método de seguimiento Visibilidad de las operaciones Capacidad de detección de rootkits
Supervisión basada en llamadas al sistema (por ejemplo, CrowdStrike, Symantec) Interceptación y enganche de llamadas al sistema Limitado - io_uring evita la mayoría de las llamadas al sistema Bajo a ninguno contra io_uring rootkits
Monitorización basada en memoria y comportamiento (por ejemplo, Darktrace, Fortinet) Análisis de la memoria del núcleo, anomalías de comportamiento Moderado: posibilidad de detectar E/S asíncronas anómalas. Detección mejorada, pero requiere heurística avanzada
Soluciones de parcheado del núcleo (por ejemplo, KernelCare) Parche de vulnerabilidades en la E/S asíncrona del kernel Variable - depende de los parches aplicados Puede reducir la exposición si los parches cubren los exploits io_uring

Recorrido técnico de las técnicas de evasión de rootkits basadas en io_uring

El rootkit, ejemplificado por la prueba de concepto de ARMO denominada "Curar", manipula la interfaz io_uring para inyectar cargas maliciosas e interceptar funciones del kernel sin dejar rastros de syscall. Al interactuar directamente con el kernel a través de colas de envío y finalización, realiza operaciones encubiertas como:

  • Carga de módulos del kernel no autorizados sin activar los ganchos de carga de módulos del kernel.
  • Interceptación de accesos al sistema de archivos y de E/S de red con una huella mínima.
  • Mantener la persistencia secuestrando las llamadas de retorno de E/S asíncronas.
LEA  El rastreo en línea al descubierto: Cómo proteger su intimidad en las plataformas de ocio

Estos métodos permiten a los atacantes mantener privilegios elevados y ejecutar código arbitrario a nivel de kernel mientras evaden la detección de las soluciones de seguridad de endpoints, incluyendo McAfee, Palo Alto Networks, Check Point y FireEye.

Pasos seguidos por el rootkit para eludir la supervisión de llamadas al sistema

  1. Inicializar buffers de interfaz io_uring para envío y finalización.
  2. Enviar directamente solicitudes de E/S manipuladas que invocan código malicioso del kernel.
  3. Utilizar la cola de finalización para recibir respuestas, eludiendo las típicas notificaciones syscall.
  4. Engancha funciones críticas del kernel parcheando punteros de función dentro de la memoria del kernel.
  5. Evite la detección heurística y basada en firmas evitando las huellas de firmas en los registros de llamadas al sistema supervisados.

Las organizaciones que confían únicamente en las señales monitorizadas de las llamadas del sistema, incluidas las que emplean la protección de puntos finales de Symantec, podrían tener dificultades para detectar estos rootkits. Solo las metodologías de detección mejoradas y orientadas al comportamiento pueden revelar estos sofisticados ataques.

Estrategias de mitigación y técnicas avanzadas de detección contra io_uring Rootkits

Hacer frente a los rootkits que explotan io_uring requiere un enfoque multicapa que abarque la gestión de parches del kernel, la inspección de la memoria y la detección avanzada de anomalías. Las estrategias recomendadas son:

  • Aplicación inmediata de los parches KernelCare para cerrar vulnerabilidades io_uring conocidas.
  • Despliegue de plataformas de seguridad centradas en el comportamiento, como Darktrace y Fortinet, que analizan el comportamiento del kernel y la E/S asíncrona.
  • Integración de análisis forenses de memoria para detectar modificaciones no autorizadas del kernel.
  • Actualización de los agentes de seguridad para supervisar y auditar las colas de envío y finalización de io_uring en busca de patrones sospechosos.
  • Empleo de herramientas de análisis dinámico para simular y exponer secuencias de E/S asíncronas anómalas.
Técnica de mitigación Eficacia Desafíos
Aplicación de parches KernelCare Alta si es oportuna y completa Requiere una gestión continua de los parches
Detección basada en el comportamiento (Darktrace, Fortinet) Moderado a alto Necesita una heurística afinada
Análisis forense de la memoria y comprobación de la integridad del kernel Alto Requiere muchos recursos y análisis de expertos
Supervisión directa de las colas de io_uring Técnica emergente Soporte de herramientas limitado en la actualidad

Los principales proveedores, como CrowdStrike, Kaspersky y Check Point, están ampliando sus capacidades de detección para incorporar la supervisión asíncrona de E/S y el análisis de la memoria del kernel. Mantenerse informado sobre las actualizaciones de los proveedores y las tecnologías de detección emergentes es crucial para mantener una sólida seguridad de los endpoints Linux.