Исследователи из компании ARMO продемонстрировали возможность создания руткитов, не использующих специфичные системные вызовы для выполнения типовых операций, таких как чтение/запись файлов и приём команд от внешнего сервера. Вместо системных вызовов для выполнения сетевых и файловых операций предложено использовать интерфейс асинхронного ввода/вывода io_uring, поддерживаемый начиная с ядра Linux 5.1...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63136

• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 22:25 , 24-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 22:26 , 24-Апр-25
    • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 22:39 , 24-Апр-25
      • Прототип руткита для Linux, использующий io_uring для обхода...,АнонимЯ, 02:07 , 25-Апр-25
      • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 07:58 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,ИмяХ, 22:50 , 24-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 23:09 , 24-Апр-25
    • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 23:29 , 24-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,нах., 23:32 , 24-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,нах., 23:31 , 24-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 23:32 , 24-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 08:44 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,мяв, 01:05 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 02:09 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 02:26 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 02:51 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Жироватт, 08:03 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Шарп, 09:12 , 25-Апр-25

> В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий в контейнерах

Хостовая система не видит, что происходит в контейнере?

Или эти "инструменты" в тех же ns работают?

Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация.

> это вам не виртуализация.

https://ru.wikipedia.org/wiki/%D0%9A%D0%...

Вообще контейнеризация относится к виртуализации (что как по мне странно).

> Конечно видит, ядро же общее для всех контейнеров,

Вот я тоже не понял, как из непривилегированного контейнера можно что-то там скрыть, без LPE на уровне ядра.

А то что васяноподелки... То есть "инструменты мониторинга" что-то там не видят, то вопрос к их создателям.

> Вообще контейнеризация относится к виртуализации (что как по мне странно).

Просто не читайте до обеда википедию.

Ничего странного, как всегда надо начинать с определений - они могут сильно отличаться у разных групп. Например,  виртуализация может быть разного уровня - железа, ядра, ос, прикладного. Как пример последнего - пачка разнородных питоновских окружений, каждый со своим интерпретатором и набором библиотек/их версий.

Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая парадная дверь для вредноносов. А вы не послушали. Вот теперь расхлёбывайте.

Кому это нам? Линусу и Ко? Так им пофиг на мнение каких-то там анонимов с опеннета. Денежки получили, теперь ещё заработают на закрытии этой дыры.

И набегут новые "мейнтейнеры", чтобы предложить io_uring переписывать на Rust.

мне не говорили. Я думал что это улучшайкерство само по себе вредонос (неотключаемый бай дизайн, как всегда), а оно эвон как еще могет!

Ураааа! Наконец-то хоть какая-то польза простым смертым от этой иоурины, попереломавшей все файловые системы!

>механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам

Предлагается детектить активность одного руткита с помощью другого.

Ради вашей безопасности, из за того что у них там в разработке (т.е он не работает на нормальной системе) руткит, предлагается :
разрешить BPF, и прикреплять BPF-программы к любым LSM-хукам.

Ну прям классический развод про дыры ради безопасности.

так.. все равно происходит чтение, все равно происходит подключение к сети.
я дальше половины новости не читала, но даже если это модуль ядра - будет чтение файла и отправка со стороны ядра.
MACи это явно увидят, lsm не дураками делался. ровно, как и подсистема аудита.

Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя и, опционально, защищаемой нагрузки. User-mode rootkit это программа, подменяющая  библиотеки и утилиты на подкрученные. Toolchain-level rootkit - это подкрученный toolchain.

Программа же, просто использующая непокрытую функциональность, непокрытую по той простой причине, что эта функциональность намеренно ускорена для HPC, для тех, кому нужна максимальная скорость во что бы то ни стало, кто специально ради этого готов пожертвовать безопасностью (именно поэтому io_uring требует спец. привилегий) - это не руткит.

Надо взять ядро 2.6, залатать все дыры и уязвимости в нем, и не трогать. Писать только модули к нему, а код ядра заморозить.

Кстати, вопрос, где смотреть сколько уязвимостей еще осталось в старых ядрах? На всяких cve базах не очень понятно, толи есть они, толи все залатали уже.

Следующая новость -- опасность руткитов из-за

>> появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам.

BPF руткиты облепили LSM своими липкими хуками!

Мой байт-код ОПТИМИЗИРОВАННЕЕ, чем твой байт-код.
И хватит тут постоянно поминать своё липкий хук - мы всё-таки в приличном месте, тут дамы.

Не могут 10 лет родить асинхронный API.