Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов"	+/–
Сообщение от opennews (??), 24-Апр-25, 22:25
Исследователи из компании ARMO продемонстрировали возможность создания руткитов, не использующих специфичные системные вызовы для выполнения типовых операций, таких как чтение/запись файлов и приём команд от внешнего сервера. Вместо системных вызовов для выполнения сетевых и файловых операций предложено использовать интерфейс асинхронного ввода/вывода io_uring, поддерживаемый начиная с ядра Linux 5.1... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63136
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Прототип руткита для Linux, использующий io_uring для обхода..."	–1 +/–
Сообщение от Аноним (1), 24-Апр-25, 22:25
> В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий в контейнерах Хостовая система не видит, что происходит в контейнере? Или эти "инструменты" в тех же ns работают?
Ответить | Правка | Наверх | Cообщить модератору

	2. "Прототип руткита для Linux, использующий io_uring для обхода..."	+2 +/–
	Сообщение от Аноним (2), 24-Апр-25, 22:26
	Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация.
	Ответить | Правка | Наверх | Cообщить модератору

	3. "Прототип руткита для Linux, использующий io_uring для обхода..."	+3 +/–
	Сообщение от Аноним (1), 24-Апр-25, 22:39
	> это вам не виртуализация. https://ru.wikipedia.org/wiki/%D0%9A%D0%... Вообще контейнеризация относится к виртуализации (что как по мне странно). > Конечно видит, ядро же общее для всех контейнеров, Вот я тоже не понял, как из непривилегированного контейнера можно что-то там скрыть, без LPE на уровне ядра. А то что васяноподелки... То есть "инструменты мониторинга" что-то там не видят, то вопрос к их создателям.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Прототип руткита для Linux, использующий io_uring для обхода..."	+4 +/–
	Сообщение от АнонимЯ (?), 25-Апр-25, 02:07
	> Вообще контейнеризация относится к виртуализации (что как по мне странно). Просто не читайте до обеда википедию.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "Прототип руткита для Linux, использующий io_uring для обхода..."	+4 +/–
	Сообщение от Аноним (18), 25-Апр-25, 07:58
	Ничего странного, как всегда надо начинать с определений - они могут сильно отличаться у разных групп. Например,  виртуализация может быть разного уровня - железа, ядра, ос, прикладного. Как пример последнего - пачка разнородных питоновских окружений, каждый со своим интерпретатором и набором библиотек/их версий.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Прототип руткита для Linux, использующий io_uring для обхода..."	+6 +/–
Сообщение от ИмяХ (ok), 24-Апр-25, 22:50
Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая парадная дверь для вредноносов. А вы не послушали. Вот теперь расхлёбывайте.
Ответить | Правка | Наверх | Cообщить модератору

	5. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от Аноним (5), 24-Апр-25, 23:09
	Кому это нам? Линусу и Ко? Так им пофиг на мнение каких-то там анонимов с опеннета. Денежки получили, теперь ещё заработают на закрытии этой дыры.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Прототип руткита для Linux, использующий io_uring для обхода..."	+6 +/–
	Сообщение от Аноним (6), 24-Апр-25, 23:29
	И набегут новые "мейнтейнеры", чтобы предложить io_uring переписывать на Rust.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от нах. (?), 24-Апр-25, 23:32
	мне не говорили. Я думал что это улучшайкерство само по себе вредонос (неотключаемый бай дизайн, как всегда), а оно эвон как еще могет!
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	24. "Прототип руткита для Linux, использующий io_uring для обхода..."	+2 +/–
	Сообщение от n00by (ok), 25-Апр-25, 10:14
	Это не про io_uring, а про несостоятельность eBPF-фильтрации вообще как методики обнаружения руткитов. Что давно было показано в другой ОС: если "антируткит" где-то наставил хуков, значит надо идти другим путём.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	37. "Прототип руткита для Linux, использующий io_uring для обхода..."	+3 +/–
	Сообщение от vitalif (ok), 25-Апр-25, 13:44
	io_uring офигенная вещь, а то что какие-то перехватывалки в неё не научились - это проблема не уринга, а перехватывалок как бы данные там все в момент io_uring_enter очевидно доступны - информация о системных вызовах лежит в памяти в кольцевом буфере. анализируй не хочу
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от нах. (?), 24-Апр-25, 23:31
Ураааа! Наконец-то хоть какая-то польза простым смертым от этой иоурины, попереломавшей все файловые системы!
Ответить | Правка | Наверх | Cообщить модератору

8. "Прототип руткита для Linux, использующий io_uring для обхода..."	+9 +/–
Сообщение от Аноним (6), 24-Апр-25, 23:32
>механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам Предлагается детектить активность одного руткита с помощью другого.
Ответить | Правка | Наверх | Cообщить модератору

	20. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Аноним (20), 25-Апр-25, 08:44
	Ради вашей безопасности, из за того что у них там в разработке (т.е он не работает на нормальной системе) руткит, предлагается : разрешить BPF, и прикреплять BPF-программы к любым LSM-хукам. Ну прям классический развод про дыры ради безопасности.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Аноним (48), 26-Апр-25, 22:28
	Придумаешь как сделать лучше — пиши. Инвестирую в твой стартап.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

12. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
Сообщение от мяв (?), 25-Апр-25, 01:05
так.. все равно происходит чтение, все равно происходит подключение к сети. я дальше половины новости не читала, но даже если это модуль ядра - будет чтение файла и отправка со стороны ядра. MACи это явно увидят, lsm не дураками делался. ровно, как и подсистема аудита.
Ответить | Правка | Наверх | Cообщить модератору

	25. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от n00by (ok), 25-Апр-25, 10:22
	А надо было читать дальше: "вместо перехвата системных вызовов рекомендовано использовать механизм KRSI ... даёт возможность отслеживать ... независимо от того, инициированы данные операции через специфичные системные вызовы или через io_uring." Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Anonimous (?), 25-Апр-25, 12:33
	> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС. Скажи, в какой, если ты читал дальше
	Ответить | Правка | Наверх | Cообщить модератору

	39. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от n00by (ok), 25-Апр-25, 14:02
	>> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС. > Скажи, в какой, если ты читал дальше Скажу, что ты слишком поторопился с троллингом. Ответ дан в самом первом (по времени) моём сообщении в этой теме. Попробуй его найти -- так ты покажешь, что есть хоть какой-то смысл с тобой говорить.
	Ответить | Правка | Наверх | Cообщить модератору

14. "Прототип руткита для Linux, использующий io_uring для обхода..."	+4 +/–
Сообщение от Аноним (14), 25-Апр-25, 02:09
Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя и, опционально, защищаемой нагрузки. User-mode rootkit это программа, подменяющая  библиотеки и утилиты на подкрученные. Toolchain-level rootkit - это подкрученный toolchain. Программа же, просто использующая непокрытую функциональность, непокрытую по той простой причине, что эта функциональность намеренно ускорена для HPC, для тех, кому нужна максимальная скорость во что бы то ни стало, кто специально ради этого готов пожертвовать безопасностью (именно поэтому io_uring требует спец. привилегий) - это не руткит.
Ответить | Правка | Наверх | Cообщить модератору

	26. "Прототип руткита для Linux, использующий io_uring для обхода..."	+3 +/–
	Сообщение от n00by (ok), 25-Апр-25, 10:24
	Удивительно, что kernel-mode руткит может вообще ничего не хукать, но вышеотписавшийся эксперт ни за что его не найдёт. Например, эпический случай, когда драйвер первых версий Rustock просто лежал в ADS.
	Ответить | Правка | Наверх | Cообщить модератору

	42. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Аноним (42), 25-Апр-25, 16:27
	Если не хукает - то это не руткит. Смысл руткита - "мы вот сейчас сторожей подправим, так как самих сторожей сторожить некому".
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от Аноним (48), 26-Апр-25, 23:03
	Смысл руткита — получить перманентный контроль над системой. А не вот это твоё словоблудие.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Аноним (54), 27-Апр-25, 16:16
	Чтобы перманентный контроль за системой получить достаточно в состав Microsoft Office или любой мега-нужной программы свой код внести. С крючка скот не соскочит, даже если всё делать явно и открыто. Внесёшь винду, офис и фотошоп в список руткитов? Нет, руткит - это средство сокрытия, а не закрепления. Средства закрепления - это бэкдоры и импланты.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от n00by (ok), 29-Апр-25, 12:38
	> Нет, руткит - это средство сокрытия, а не закрепления. Средства закрепления - > это бэкдоры и импланты. Совершенно внезапно для эксперта по руткитам, скрытие является одним из действенных способов закрепления, поскольку мешает обнаружению, а следовательно и удалению. А на тему, является ли Rustock руткитом, советую писать филиппики в антивирусные лаборатории и прочим исследователям, кто составлял отчёты по нему.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от n00by (ok), 29-Апр-25, 12:47
	> Если не хукает - то это не руткит. Тянет на величайшее научное открытие. А самый руткитный руткит - Microsoft Detours, не иначе. > Смысл руткита - "мы > вот сейчас сторожей подправим, так как самих сторожей сторожить некому". Смысл в том, что есть цели, а есть средства для их достижения. Хук -- далеко не единственное средство для достижения цели. При этом сам хук может быть обнаружен, то есть не является надёжным решением. Потому одни просто лежали в ADS, а другие ещё проще -- удаляли себя.
	Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

15. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
Сообщение от Аноним (15), 25-Апр-25, 02:26
Надо взять ядро 2.6, залатать все дыры и уязвимости в нем, и не трогать. Писать только модули к нему, а код ядра заморозить. Кстати, вопрос, где смотреть сколько уязвимостей еще осталось в старых ядрах? На всяких cve базах не очень понятно, толи есть они, толи все залатали уже.
Ответить | Правка | Наверх | Cообщить модератору

	22. Скрыто модератором	+/–
	Сообщение от 1 (??), 25-Апр-25, 09:18
	Чё 2.6 то ? 2.4 - самое православное ядро !
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от n00by (ok), 25-Апр-25, 10:35
	Это не про дыры, а про отсутствие защитного механизма в ядре. Так что надо внедрить подписи, UEFI, ну и засунуть PatсhGuard в Microsoft Pluton. ;)
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	31. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Герострат (?), 25-Апр-25, 11:41
	Ок, делай
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	32. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Аноним (32), 25-Апр-25, 12:22
	Но контейнеризация, всё-таки, нужна. Поэтому всё, что касается пространств имён придётся портирровать.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	43. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Электрон (?), 25-Апр-25, 16:33
	Нигде. Линукс CVE не вел, их философия: всё в git log. Читайте и вчитывайтесь.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

16. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от Аноним (16), 25-Апр-25, 02:51
Следующая новость -- опасность руткитов из-за >> появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам. BPF руткиты облепили LSM своими липкими хуками!
Ответить | Правка | Наверх | Cообщить модератору

	19. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от Жироватт (ok), 25-Апр-25, 08:03
	Мой байт-код ОПТИМИЗИРОВАННЕЕ, чем твой байт-код. И хватит тут постоянно поминать своё липкий хук - мы всё-таки в приличном месте, тут дамы.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от n00by (ok), 25-Апр-25, 10:31
	В каждой шутке есть доля шутки. Примерно так оно и развивалось в другой ОС. С чем и советуют ознакомиться авторы прототипа.
	Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

21. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от Шарп (ok), 25-Апр-25, 09:12
Не могут 10 лет родить асинхронный API.
Ответить | Правка | Наверх | Cообщить модератору

	33. "Прототип руткита для Linux, использующий io_uring для обхода..."	–1 +/–
	Сообщение от Аноним (32), 25-Апр-25, 12:31
	Чем epoll не асинхронный? Давно рождён.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Прототип руткита для Linux, использующий io_uring для обхода..."	+2 +/–
	Сообщение от vitalif (ok), 25-Апр-25, 13:45
	Так как раз родили. Но теперь секукакурщики завыли что распарсить его не могут. Привыкли к синхронному г**ну
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

23. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
Сообщение от n00by (ok), 25-Апр-25, 10:12
Обнулили заодно местных анонимных экспертов, с важным видом поплёвывающих со своего дивана на советы начать с книжки Грега Хоглунда. "Before we dive into the Linux ecosystem, let’s take a look at Windows because it highlights processes that need to be adopted in Linux."
Ответить | Правка | Наверх | Cообщить модератору

	49. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от Аноним (48), 26-Апр-25, 22:43
	Нет времени книжки читать, надо хейтить micro$oft и билли.
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Аноним (53), 27-Апр-25, 11:58
	Да, не, чушь какая-то. Там люди вон пишут, но мало ли что они пишут IoRing brings improvements, yes, but isn't a replacement of IOCP. We should see improvements in any mainstream kernel as a good thing. It's progress. And hopefully the Linux kernel gets to full async I/O at some point in the future. but unlike io_uring which applies to a single function, all I/O in the NT kernel is asynchronous. IOCP acts on file, network, mail slot, pipes, etc. IoRing/io_uring is for files only. RegisteredIO is network only. While Windows userland itself may be a 'mess' and archaic in it's own way (among the other anti-consumer bits), the NT kernel is technically quite advanced, not only for it's time, but at the present time.
	Ответить | Правка | Наверх | Cообщить модератору

29. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от Аноним (-), 25-Апр-25, 10:50
Ого, вот тебе и безопасный линукс для которого "нет вирусов как в отсталой винде") А ведь не первый раз. Bvp47 десять лет жил.
Ответить | Правка | Наверх | Cообщить модератору

30. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
Сообщение от Аноним (30), 25-Апр-25, 11:13
Кстати, кто что посоветует из адекватного современного, чем сейчас выявляют руткиты и вот это вот все? rkhunter не предлагать, смешно же.
Ответить | Правка | Наверх | Cообщить модератору

	40. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от n00by (ok), 25-Апр-25, 14:19
	Где выявлять и зачем? Верный способ остановить этот парад мракобесия: специально обученные люди обнаруживают в специально отведённом месте, а следом применяют административные меры к главарям секты "Вирусовнет", объявляя их соучастниками в утечках персданных и прочего.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Аноним (52), 27-Апр-25, 01:56
	Так вирусов нет, за пределами специально отведённых мест. А специально обученные люди, поправ должностные обязанности и технический долг, сами атакуют людей в локалке, которую обязались защищать, и сливают персональные данные клиентов, которые обязались сохранить.
	Ответить | Правка | Наверх | Cообщить модератору

36. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
Сообщение от Аноним (36), 25-Апр-25, 13:30
как обычно мой дебиан в пролёте... на 4.19 ведре даже руткит не заработает...
Ответить | Правка | Наверх | Cообщить модератору

41. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от OpenEcho (?), 25-Апр-25, 15:25
Чтоб не ждать 6.6 io_uring_setup => SELinux/AppArmor + seccomp для фильтрации io_uring syscalls
Ответить | Правка | Наверх | Cообщить модератору

44. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
Сообщение от Электрон (?), 25-Апр-25, 16:36
> которые не анализируются типовыми инструментариями для выявления вредоносной активности. Сколько io_uring лет? Что product managerы делают во время работы? > рекомендовано использовать механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам Ещё раз пять лет. Деньги платятся за плацебо и "чтоб было" из-за бюрократическо-юридических соображений.
Ответить | Правка | Наверх | Cообщить модератору

45. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от Аноним (45), 25-Апр-25, 17:03
> Подразумевается, что после успешной компрометации системы и получения прав root Очередной молдавский вирус?
Ответить | Правка | Наверх | Cообщить модератору

	50. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Аноним (48), 26-Апр-25, 22:48
	Как будто в софте, который от рута на этом линуксе запущен никогда локальных повышений привилегий не находили и новых не найдут, ага. И можешь мне не рассказывать, как у тебя нет нигде недоверенного кода.
	Ответить | Правка | Наверх | Cообщить модератору

46. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от 12yoexpert (ok), 25-Апр-25, 17:43
как запустить?
Ответить | Правка | Наверх | Cообщить модератору

47. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от Аноним (47), 25-Апр-25, 22:17
Ой-ой как же так получилось? Может просто признать, что обнаружение руткита не доступно процессам из юзерленда.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема