Linux: Curing Rootkit eksploatacija

AUTOR ·

Curing rootkit je dokaz koncepta koji iskorištava io_uring operacije u Linux operativnom sistemu i izbjegava otkrivanje od strane više komercijalnih i alata otvorenog kôda, otkriva kompanija ARMO. Ovaj alarmantni funkcionalni dokaz naglašava potrebu za kontinuiranim praćenjem i prilagođavanjem u stalno promjenljivom pejzažu sajber bezbjednosti.

Curing Rootkit

Linux: Curing Rootkit eksploatacija; Source: Bing Image Creator

io_uring OKRUŽENJE

io_uring je asinhrono ulazno/izlazno okruženje za Linux jezgro sistema (eng. kernel) koji koristi jedinstven pristup rukovanju ulazno/izlaznim operacijama. Za razliku od tradicionalnih okruženja poput sistemskih poziva ili deskriptora datoteka, koji mogu dovesti do problema sa blokiranjem i performansama, io_uring koristi prstenaste memorijske međuspremnike (eng. buffers) u dijeljenoj memoriji kao redove čekanja između korisničkog prostora i jezgra sistema.

Ovaj dizajn omogućava slanje višestrukih ulazno/izlaznih zahteva bez blokiranja, smanjujući opterećenje sistemskih poziva i čineći ga potencijalno bržom alternativom tradicionalnim programskim okruženjima aplikacija (eng. Application Programming Interface – API). Okruženje se sastoji od dvije glavne komponente: reda za slanje (eng. submission queu – SQ) i reda za završetak (eng. completion queue – CQ).

Proces korisničkog prostora koristi red za slanje (SQ) za slanje asinhronih ulazno/izlaznih zahteva jezgru sistema, dok red za završetak (CQ) koristi jezgro sistema za vraćanje rezultata nazad u korisnički prostor. Ovaj dizajn omogućava efikasnu komunikaciju između korisničkog prostora i jezgra sistema, čineći io_uring obećavajućim rješenjem za aplikacije koje zahtevaju visokoperformansne ulazno/izlazno operacije.

Kao i kod svake nove tehnologije, postoje potencijalne bezbjednosne implikacije koje treba uzeti u obzir kada je u pitanju io_uring, a to je slijepa tačka u alatima za bezbjednost. Ovo je značajna briga, jer se mnogi alati za bezbjednost tokom izvršavanja oslanjaju na praćenje sistemskih poziva, ali ignorišu operacije koje uključuju io_uring okruženje. Ovo stvara slijepu tačku gdje zlonamjerni akteri mogu da iskoriste ranjivosti, a da ih tradicionalne bezbjednosne mjere ne otkriju.

Kao posljedicu, zlonamjerni akteri bi mogli koristiti zlonamjerni softver koji može da izvršava zlonamjerne radnje bez pokretanja upozorenja kod tradicionalnog bezbjednosnog softvera, što administratorima i bezbjednosnim timovima otežava otkrivanje. Ovo predstavlja značajnu opasnost u bezbjednosti izvršavanja Linux operativnog sistema, omogućavajući zlonamjernim softverima za prikrivanje prisustva (eng. rootkit), poput Curing rootkit eksploatacije koji su demonstrirali sigurnosni istraživači kompanije ARMO, da neotkriveno rade na sistemima zaobilazeći napredna bezbjednosna rješenja.

 

Curing Rootkit eksploatacija

io_uring okruženje je pod lupom od svog prvog objavljivanja 2019. godine, ali je proizvođači bezbjednosnih sistema i dalje uglavnom ne obraćaju pažnju na njega. Uprkos brojnim publikacijama koje detaljno opisuju kako se io_uring može koristiti u zlonamjerne svrhe u posljednje dvije godine, većina proizvođača bezbjednosnog softvera nije uspela da efikasno rješi ovaj problem. Ovaj nedostatak pažnje je zabrinjavajući, jer ističe potrebu za rješenjima za praćenje kompatibilnijim sa novim funkcijama u Linux jezgru sistema i sposobnim da se nose sa novim tehnikama koje mogu otkriti zlonamjerni akteri.

Problem leži u činjenici da se većina proizvođača bezbjednosnog softvera oslanja na jednostavna i direktna rješenja koja nisu imuna na promjene i raznolikost aplikacija i funkcija jezgra sistema. Ovaj pristup više nije dovoljan, jer postoji brojni primjeri gdje su zlonamjerni akteri iskoristili ove slabosti da bi dobili neovlašteni pristup sistemima. Nasuprot tome, rješenja za praćenje kompatibilna sa novim jezgrom bila bi dizajnirana imajući u vidu fleksibilnost, što bi im omogućilo da se brzo prilagode novim dešavanjima u Linux jezgru sistema.

Trenutno postoji 61 moguća operacija koja koristi io_uring, što uključuje mrežne operacije i operacije sa datotekama. Ovaj širok spektar mogućnosti čini io_uring okruženje atraktivnom metom za zlonamjerne aktere koji žele da zaobiđu mehanizme detekcije. Kreiranjem potpuno funkcionalnog zlonamjernog softvera za prikrivanje prisustva koji radi isključivo preko io_uring okruženja za sve svoje operacije, sigurnosni istraživači su imali za cilj da demonstriraju potencijalne rizike povezane sa ovom funkcijom.

 

Demonstracija potencijalnih rizika

Kao dio napora da se podigne svijest o zanemarenom mehanizmu i istakne potreba za rješenjima za kompatibilnim praćenjem budućeg razvoja novih funkcionalnosti unutar operativnog sistema Linux, sigurnosni istraživači su kreirali Curing rootkit. Ovaj zlonamjerni softver za prikrivanje prisustva je posebno dizajniran da radi preko io_uring okruženja za sve njegove operacije, demonstrirajući kako zlonamjerni akteri mogu da iskoriste ovo okruženje da bi zaobišli mehanizme detekcije.

Glavna ideja iza kreiranja Curing rootkit kao koncepta bila je da se pokaže da io_uring omogućava toliko važnih operacija da se može napisati napisati cio zlonamjerni softver za prikrivanje prisustva preko njega bez pravljenja bilo kakvih sistemskih poziva relevantnih za njegove operacije. Ovo je zabrinjavajuće otkriće, jer ističe potencijalne rizike povezane sa korišćenjem ovog mehanizma u proizvodnim okruženjima.

Što se tiče funkcionalnosti, Curing rootkit demonstrira komunikaciju između C2 servera i zaraženog uređaja kako bi se preuzele komande i izvršile bez ikakvih sistemskih poziva relevantnih za njegove operacije. Prikazujući kako zlonamjerni akteri mogu da iskoriste io_uring u zlonamjerne svrhe, sigurnosni istraživači žele da podignu svijet među proizvođačima bezbjednosnih sistema o potrebi za rješenjima za praćenje kompatibilnijim sa novim funkcijama u Linux jezgru sistema.

 

UTICAJ

Uticaj Curing rootkit dokaza koncepta koji su razvili sigurnosni istraživači kompanije ARMO značajan i dalekosežan. Ovaj koncept dokazuje kako je moguće iskoristiti slijepu tačku u bezbjednosti Linux operativnog sistema koju izaziva io_uring okruženje, omogućavajući zlonamjernim akterima da neotkriveno radi na sistemima dok zaobilaze napredni softver za bezbjednost koji se koriste za zaštitu uređaja. Sposobnost Curing rootkit koncepta da izbjegne otkrivanje čini ga izuzetno moćnim vektorom prijetnje za zlonamjerne aktere koji žele da ugroze osjetljive informacije ili poremete sistemske operacije.

Uticaj ove ranjivosti nije ograničen samo na pojedinačne korisnike, već ima šire implikacije na cio Linux ekosistem. Kao široko korišćeni operativni sistem u različitim industrijama i sektorima, uključujući finansije, zdravstvo i vladu, bezbjednosne ranjivosti Linux operativnog sistema mogu imati dalekosežne posljedice ako se ne rješe. Prikrivena priroda Curing rootkit koncepta znači da čak i organizacije sa robusnim bezbjednosnim mjerama mogu biti nesvjesne njegovog prisustva na svojim sistemima dok ne bude prekasno. Ovo pokreće zabrinutost zbog mogućnosti široko rasprostranjenog kompromitovanja i ugrožavanja podataka.

Uticaj ove ranjivosti proteže se dalje od pukih finansijskih gubitaka ili štete po reputaciju, ona takođe ima značajne implikacije na povjerenje u Linux operativni sistem kao bezbjednu platformu. Ako se ne rješe, takve ranjivosti mogu narušiti povjerenje korisnika u sposobnost operativnog sistema da zaštiti njihove osjetljive informacije. Ovo bi moglo dovesti do pada stope usvajanja među organizacijama koje se oslanjaju na robusne bezbjednosne funkcije, što bi na kraju uticalo na cjelokupno zdravlje ekosistema.

Curing rootkit takođe ističe potrebu za sveobuhvatnijim i proaktivnijim pristupima bezbjednosti tokom izvršavanja Linux operativnog sistema. Tradicionalne metode koje se oslanjaju isključivo na praćenje sistemskih poziva više nisu dovoljne u današnjem pejzažu prijetnji. io_uring okruženje, sa svojih 61 tipa operacija koje podržavaju širok spektar operacija, predstavlja atraktivnu metu za zlonamjerne aktere koji žele da izbjegnu otkrivanje.

Uticaj ove ranjivosti se osjeća i u fazi razvoja. Sigurnosni istraživači i programeri sada moraju da razmotre potencijalne rizike povezane sa korištenjem Linux operativnog sistema kao svoje platforme po izboru. Ovo bi moglo dovesti do povećanog nadzora i primjene bezbjednosnih mjera tokom razvoja softvera, što bi potencijalno moglo da ometa inovacije ili usporava napredak u određenim oblastima. Pritisak na programere biće ogroman, posebno imajući u vidu da se mnoge organizacije u velikoj mjeri oslanjaju na rješenja otvorenog kôda.

Curing rootkit uticaj nije ograničen samo na Linux zajednicu, on takođe ima uticaj na šire napore u oblasti sajber bezbjednosti. Kako se zlonamjerni akteri sve više okreću sofisticiranijim i prikrivenijim taktikama, tradicionalne mjere bezbjednosti mogu postati manje efikasne u otkrivanju zlonamjernih aktivnosti. To bi moglo dovesti do prelaska na naprednije strategije otkrivanja koje uključuju mašinsko učenje ili druge tehnike zasnovane na vještačkoj inteligenciji.

 

ZAKLJUČAK

Curing rootkit uticaj na Linux ekosistem višestruk. Ovaj koncept utiče na korisnike, organizacije, programere i šire napore u oblasti sajber bezbjednosti. Ranjivost ističe potrebu za proaktivnim pristupima bezbjednosti tokom izvršavanja, povećanom kontrolom tokom razvoja softvera i prelaskom na naprednije strategije otkrivanja koje mogu da prate razvoj prijetnji.

Sve ovo pokazuje da za zaštita od iskorištavanja io_uring okruženja zahteva višeslojni pristup koji uključuje razumijevanje složenosti bezbjednosnih mehanizama na nivou jezgra sistema i identifikaciju potencijalnih tačaka povezivanja u različitim slojevima Linux sistema. Dok instrumentacija sigurnosti jezgra sistema pri radu (eng. kernel runtime security instrumentation – KRSI) pruža ugrađenu integraciju sa Linux bezbjednosnim slojem, omogućavajući duboki uvid u događaje na nivou jezgra sistema, važno je razmotriti alternativne pristupe koji se mogu prilagoditi specifičnim slučajevima upotrebe. Analizom kompromisa između različitih metoda, sigurnosni istraživači su pokazali da kombinacija tehnika može dati efikasnije rezultate nego oslanjanje na jedan jedini pristup.

Pored toga, ovo istraživanje je naglasilo potrebu za ciljanom analizom unutrašnjosti jezgra sistema prilikom identifikacije alternativnih tačaka povezivanja u različitim slojevima Linux sistema. Ovaj pristup zahteva dublje razumijevanje složenih sistema i može iziskivati značajna ulaganja u smislu vremena i resursa. Međutim, koristeći ovo znanje za razvoj efikasnijih strategija detekcije, moguće je poboljšati ukupnu bezbjednost sistema.

Na kraju, analiza pokazuje da je uklanjanje zlonamjernog softvera za prikrivanje prisustva kontinuiran proces koji zahteva stalni nadzor i prilagođavanje. Prepoznavanjem ograničenja trenutnih pristupa i istraživanjem novih pravaca poboljšanja, moguće je ostati korak ispred novih prijetnji i održati robusne bezbjednosne instrumente na nivou jezgra sistema.

 

ZAŠTITA

Evo nekoliko preporuka o tome kako se zaštititi od iskorištavanja io_uring okruženja:

  1. Kao što je ranije pomenuto, instrumentacija sigurnosti jezgra sistema pri radu (KRSI) nudi ugrađenu integraciju sa bezbjednosnim slojem Linux operativnog sistema, omogućavajući duboku vidljivost događaja na nivou jezgra sistema. Ovo je vjerovatno najefikasniji način za otkrivanje i sprečavanje napada poput Curing rootkit koncepta;
  2. Pošto se većina aplikacija obično ne oslanja na io_uring okruženje, praćenje neočekivanih obrazaca korišćenja koji uključuju ovo okruženje može biti efikasan početni signal. Međutim, neophodno je pažljivo implementirati ovaj pristup kako bi se izbjeglo generisanje velikog broja lažno pozitivnih rezultata;
  3. Redovno ažuriranje operativnog sistema i aplikacija osigurava da uređaj posjeduje najnovije bezbjednosne ispravke i funkcije. Ovo je ključno u sprečavanju napada poput Curing rootkit koncepta da iskoriste poznate ranjivosti;
  4. Komercijalni softveri za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR), mogu pomoći u otkrivanju i sprečavanju napada koji koriste Curing rootkit Uvjeriti se da izabrano rješenje ima izvornu integraciju sa bezbjednosnim slojem Linux operativnog sistema radi optimalne efikasnosti;
  5. Ograničavanje mrežnog saobraćaja na određene segmente ili zone na osnovu korisničkih uloga i dozvola pomaže u obuzdavanju potencijalnih prijetnji unutar kontrolisanog okruženja. Ovo smanjuje površinu napada i otežava zlonamjernim akterima da šire svoj zlonamjerni softver;
  6. Sistemski pozivi su bitne komponente bezbjednosne arhitekture Linux operativnog sistema, pružajući uvid u kritične operacije kao što su pristup datotekama ili mrežna komunikacija. Redovno pregledanje unosa događaja može pomoći u identifikaciji potencijalnih prijetnji prije nego što eskaliraju;
  7. Implementacija više strategija detekcije pomaže u smanjenju rizika od generisanja lažno pozitivnih upozorenja prilikom praćenja anomalnih obrazaca korišćenja koje uključuju io_uring okruženje ili druge funkcije jezgra sistema koje koriste napadi slični Curing rootkit konceptu;
  8. Uspostavljanje jasnih procedura za reagovanje na bezbjednosne incidente osigurava da organizacija može brzo da obuzda, istraži i otkloni potencijalne prijetnje poput onih koje predstavlja io_uring okruženje;
  9. Edukacija administratora o bezbjednim praksama kôdiranja, karakteristikama jezgra sistema i sistemima instrumentacije tokom izvršavanja pomaže u sprečavanju napada poput napada sličnih Curing rootkit konceptu da iskoriste praznine u znanju ili ranjivosti u ovim oblastima;
  10. Uspostavljanje efikasnih mogućnosti obavještajnih podataka o prijetnjama omogućava organizacijama da budu informisane o novim prijetnjama poput onih koje predstavljaju zlonamjerni softveri za prikrivanje prisustva i da preduzmu proaktivne mjere za ublažavanje njihovog uticaja.

Tags:

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.