forum.opennet.ru - "Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов" (15)

"Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов"	+/–
Сообщение от opennews (??), 24-Апр-25, 22:25
Исследователи из компании ARMO продемонстрировали возможность создания руткитов, не использующих специфичные системные вызовы для выполнения типовых операций, таких как чтение/запись файлов и приём команд от внешнего сервера. Вместо системных вызовов для выполнения сетевых и файловых операций предложено использовать интерфейс асинхронного ввода/вывода io_uring, поддерживаемый начиная с ядра Linux 5.1... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63136
Ответить \| Правка \| Cообщить модератору

Оглавление

Хостовая система не видит, что происходит в контейнере Или эти инструменты в т, Аноним (1), 22:25 , 24-Апр-25, (1) –1

Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация , Аноним (2), 22:26 , 24-Апр-25, (2) +1

https ru wikipedia org wiki D0 9A D0 BE D0 BD D1 82 D0 B5 D0 B9 D0 BD D0 B5 D, Аноним (1), 22:39 , 24-Апр-25, (3)

Просто не читайте до обеда википедию , АнонимЯ (?), 02:07 , 25-Апр-25, (13)

Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая п, ИмяХ (ok), 22:50 , 24-Апр-25, (4) +4

Кому это нам Линусу и Ко Так им пофиг на мнение каких-то там анонимов с опенне, Аноним (5), 23:09 , 24-Апр-25, (5) +1

И набегут новые мейнтейнеры , чтобы предложить io_uring переписывать на Rust , Аноним (6), 23:29 , 24-Апр-25, (6) +1

мне не говорили Я думал что это улучшайкерство само по себе вредонос неотключа, нах. (?), 23:32 , 24-Апр-25, (9)

Ураааа Наконец-то хоть какая-то польза простым смертым от этой иоурины, поперел, нах. (?), 23:31 , 24-Апр-25, (7)
Предлагается детектить активность одного руткита с помощью другого , Аноним (6), 23:32 , 24-Апр-25, (8) +2
ждем ебилдов и пкгбилдов, Аноним (10), 00:06 , 25-Апр-25, (10)
так все равно происходит чтение, все равно происходит подключение к сети я дал, мяв (?), 01:05 , 25-Апр-25, (12)
Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя , Аноним (14), 02:09 , 25-Апр-25, (14)
Надо взять ядро 2 6, залатать все дыры и уязвимости в нем, и не трогать Писать , Аноним (15), 02:26 , 25-Апр-25, (15)
Следующая новость -- опасность руткитов из-заBPF руткиты облепили LSM своими лип, Аноним (16), 02:51 , 25-Апр-25, (16)

Сообщения [Сортировка по времени | RSS]

1. "Прототип руткита для Linux, использующий io_uring для обхода..." –1 +/–

Сообщение от Аноним (1), 24-Апр-25, 22:25

> В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий в контейнерах
Хостовая система не видит, что происходит в контейнере?
Или эти "инструменты" в тех же ns работают?

Ответить | Правка | Наверх | Cообщить модератору

2. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от Аноним (2), 24-Апр-25, 22:26

Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация.

Ответить | Правка | Наверх | Cообщить модератору

3. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Аноним (1), 24-Апр-25, 22:39

> это вам не виртуализация.
https://ru.wikipedia.org/wiki/%D0%9A%D0%...
Вообще контейнеризация относится к виртуализации (что как по мне странно).

> Конечно видит, ядро же общее для всех контейнеров,
Вот я тоже не понял, как из непривилегированного контейнера можно что-то там скрыть, без LPE на уровне ядра.
А то что васяноподелки... То есть "инструменты мониторинга" что-то там не видят, то вопрос к их создателям.

Ответить | Правка | Наверх | Cообщить модератору

13. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от АнонимЯ (?), 25-Апр-25, 02:07

> Вообще контейнеризация относится к виртуализации (что как по мне странно).
Просто не читайте до обеда википедию.

Ответить | Правка | Наверх | Cообщить модератору

4. "Прототип руткита для Linux, использующий io_uring для обхода..." +4 +/–

Сообщение от ИмяХ (ok), 24-Апр-25, 22:50

Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая парадная дверь для вредноносов. А вы не послушали. Вот теперь расхлёбывайте.

Ответить | Правка | Наверх | Cообщить модератору

5. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от Аноним (5), 24-Апр-25, 23:09

Кому это нам? Линусу и Ко? Так им пофиг на мнение каких-то там анонимов с опеннета. Денежки получили, теперь ещё заработают на закрытии этой дыры.

Ответить | Правка | Наверх | Cообщить модератору

6. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от Аноним (6), 24-Апр-25, 23:29

И набегут новые "мейнтейнеры", чтобы предложить io_uring переписывать на Rust.

Ответить | Правка | Наверх | Cообщить модератору

9. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от нах. (?), 24-Апр-25, 23:32

мне не говорили. Я думал что это улучшайкерство само по себе вредонос (неотключаемый бай дизайн, как всегда), а оно эвон как еще могет!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от нах. (?), 24-Апр-25, 23:31

Ураааа! Наконец-то хоть какая-то польза простым смертым от этой иоурины, попереломавшей все файловые системы!

Ответить | Правка | Наверх | Cообщить модератору

8. "Прототип руткита для Linux, использующий io_uring для обхода..." +2 +/–

Сообщение от Аноним (6), 24-Апр-25, 23:32

>механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам
Предлагается детектить активность одного руткита с помощью другого.

Ответить | Правка | Наверх | Cообщить модератору

10. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Аноним (10), 25-Апр-25, 00:06

ждем ебилдов и пкгбилдов

Ответить | Правка | Наверх | Cообщить модератору

12. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от мяв (?), 25-Апр-25, 01:05

так.. все равно происходит чтение, все равно происходит подключение к сети.
я дальше половины новости не читала, но даже если это модуль ядра - будет чтение файла и отправка со стороны ядра.
MACи это явно увидят, lsm не дураками делался. ровно, как и подсистема аудита.

Ответить | Правка | Наверх | Cообщить модератору

14. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Аноним (14), 25-Апр-25, 02:09

Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя и, опционально, защищаемой нагрузки. User-mode rootkit это программа, подменяющая библиотеки и утилиты на подкрученные. Toolchain-level rootkit - это подкрученный toolchain.
Программа же, просто использующая непокрытую функциональность, непокрытую по той простой причине, что эта функциональность намеренно ускорена для HPC, для тех, кому нужна максимальная скорость во что бы то ни стало, кто специально ради этого готов пожертвовать безопасностью (именно поэтому io_uring требует спец. привилегий) - это не руткит.

Ответить | Правка | Наверх | Cообщить модератору

15. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Аноним (15), 25-Апр-25, 02:26

Надо взять ядро 2.6, залатать все дыры и уязвимости в нем, и не трогать. Писать только модули к нему, а код ядра заморозить.
Кстати, вопрос, где смотреть сколько уязвимостей еще осталось в старых ядрах? На всяких cve базах не очень понятно, толи есть они, толи все залатали уже.

Ответить | Правка | Наверх | Cообщить модератору

16. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Аноним (16), 25-Апр-25, 02:51

Следующая новость -- опасность руткитов из-за
>> появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам.
BPF руткиты облепили LSM своими липкими хуками!

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Прототип руткита для Linux, использующий io_uring для обхода..."	–1 +/–
Сообщение от Аноним (1), 24-Апр-25, 22:25
> В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий в контейнерах Хостовая система не видит, что происходит в контейнере? Или эти "инструменты" в тех же ns работают?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от Аноним (2), 24-Апр-25, 22:26
	Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Аноним (1), 24-Апр-25, 22:39
	> это вам не виртуализация. https://ru.wikipedia.org/wiki/%D0%9A%D0%... Вообще контейнеризация относится к виртуализации (что как по мне странно). > Конечно видит, ядро же общее для всех контейнеров, Вот я тоже не понял, как из непривилегированного контейнера можно что-то там скрыть, без LPE на уровне ядра. А то что васяноподелки... То есть "инструменты мониторинга" что-то там не видят, то вопрос к их создателям.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от АнонимЯ (?), 25-Апр-25, 02:07
	> Вообще контейнеризация относится к виртуализации (что как по мне странно). Просто не читайте до обеда википедию.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Прототип руткита для Linux, использующий io_uring для обхода..."	+4 +/–
Сообщение от ИмяХ (ok), 24-Апр-25, 22:50
Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая парадная дверь для вредноносов. А вы не послушали. Вот теперь расхлёбывайте.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от Аноним (5), 24-Апр-25, 23:09
	Кому это нам? Линусу и Ко? Так им пофиг на мнение каких-то там анонимов с опеннета. Денежки получили, теперь ещё заработают на закрытии этой дыры.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от Аноним (6), 24-Апр-25, 23:29
	И набегут новые "мейнтейнеры", чтобы предложить io_uring переписывать на Rust.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от нах. (?), 24-Апр-25, 23:32
	мне не говорили. Я думал что это улучшайкерство само по себе вредонос (неотключаемый бай дизайн, как всегда), а оно эвон как еще могет!
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

7. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от нах. (?), 24-Апр-25, 23:31
Ураааа! Наконец-то хоть какая-то польза простым смертым от этой иоурины, попереломавшей все файловые системы!
Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Прототип руткита для Linux, использующий io_uring для обхода..."	+2 +/–
Сообщение от Аноним (6), 24-Апр-25, 23:32
>механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам Предлагается детектить активность одного руткита с помощью другого.
Ответить \| Правка \| Наверх \| Cообщить модератору

10. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от Аноним (10), 25-Апр-25, 00:06
ждем ебилдов и пкгбилдов
Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от мяв (?), 25-Апр-25, 01:05
так.. все равно происходит чтение, все равно происходит подключение к сети. я дальше половины новости не читала, но даже если это модуль ядра - будет чтение файла и отправка со стороны ядра. MACи это явно увидят, lsm не дураками делался. ровно, как и подсистема аудита.
Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от Аноним (14), 25-Апр-25, 02:09
Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя и, опционально, защищаемой нагрузки. User-mode rootkit это программа, подменяющая библиотеки и утилиты на подкрученные. Toolchain-level rootkit - это подкрученный toolchain. Программа же, просто использующая непокрытую функциональность, непокрытую по той простой причине, что эта функциональность намеренно ускорена для HPC, для тех, кому нужна максимальная скорость во что бы то ни стало, кто специально ради этого готов пожертвовать безопасностью (именно поэтому io_uring требует спец. привилегий) - это не руткит.
Ответить \| Правка \| Наверх \| Cообщить модератору

15. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от Аноним (15), 25-Апр-25, 02:26
Надо взять ядро 2.6, залатать все дыры и уязвимости в нем, и не трогать. Писать только модули к нему, а код ядра заморозить. Кстати, вопрос, где смотреть сколько уязвимостей еще осталось в старых ядрах? На всяких cve базах не очень понятно, толи есть они, толи все залатали уже.
Ответить \| Правка \| Наверх \| Cообщить модератору

16. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от Аноним (16), 25-Апр-25, 02:51
Следующая новость -- опасность руткитов из-за >> появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам. BPF руткиты облепили LSM своими липкими хуками!
Ответить \| Правка \| Наверх \| Cообщить модератору