Исследователи из компании ARMO продемонстрировали возможность создания руткитов, не использующих специфичные системные вызовы для выполнения типовых операций, таких как чтение/запись файлов и приём команд от внешнего сервера. Вместо системных вызовов для выполнения сетевых и файловых операций предложено использовать интерфейс асинхронного ввода/вывода io_uring, поддерживаемый начиная с ядра Linux 5.1...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63136

• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 22:25 , 24-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 22:26 , 24-Апр-25
    • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 22:39 , 24-Апр-25
      • Прототип руткита для Linux, использующий io_uring для обхода...,АнонимЯ, 02:07 , 25-Апр-25
      • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 07:58 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,ИмяХ, 22:50 , 24-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 23:09 , 24-Апр-25
    • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 23:29 , 24-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,нах., 23:32 , 24-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,n00by, 10:14 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,vitalif, 13:44 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,нах., 23:31 , 24-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 23:32 , 24-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 08:44 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,мяв, 01:05 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,n00by, 10:22 , 25-Апр-25
    • Прототип руткита для Linux, использующий io_uring для обхода...,Anonimous, 12:33 , 25-Апр-25
      • Прототип руткита для Linux, использующий io_uring для обхода...,n00by, 14:02 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 02:09 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,n00by, 10:24 , 25-Апр-25
    • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 16:27 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 02:26 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,1, 09:18 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,n00by, 10:35 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Герострат, 11:41 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 12:22 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Электрон, 16:33 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 02:51 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Жироватт, 08:03 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,n00by, 10:31 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Шарп, 09:12 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 12:31 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,vitalif, 13:45 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,n00by, 10:12 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 10:50 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 11:13 , 25-Апр-25
  • Прототип руткита для Linux, использующий io_uring для обхода...,n00by, 14:19 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 13:30 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,OpenEcho, 15:25 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Электрон, 16:36 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 17:03 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,12yoexpert, 17:43 , 25-Апр-25
• Прототип руткита для Linux, использующий io_uring для обхода...,Аноним, 22:17 , 25-Апр-25

> В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий в контейнерах

Хостовая система не видит, что происходит в контейнере?

Или эти "инструменты" в тех же ns работают?

Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация.

> это вам не виртуализация.

https://ru.wikipedia.org/wiki/%D0%9A%D0%...

Вообще контейнеризация относится к виртуализации (что как по мне странно).

> Конечно видит, ядро же общее для всех контейнеров,

Вот я тоже не понял, как из непривилегированного контейнера можно что-то там скрыть, без LPE на уровне ядра.

А то что васяноподелки... То есть "инструменты мониторинга" что-то там не видят, то вопрос к их создателям.

> Вообще контейнеризация относится к виртуализации (что как по мне странно).

Просто не читайте до обеда википедию.

Ничего странного, как всегда надо начинать с определений - они могут сильно отличаться у разных групп. Например,  виртуализация может быть разного уровня - железа, ядра, ос, прикладного. Как пример последнего - пачка разнородных питоновских окружений, каждый со своим интерпретатором и набором библиотек/их версий.

Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая парадная дверь для вредноносов. А вы не послушали. Вот теперь расхлёбывайте.

Кому это нам? Линусу и Ко? Так им пофиг на мнение каких-то там анонимов с опеннета. Денежки получили, теперь ещё заработают на закрытии этой дыры.

И набегут новые "мейнтейнеры", чтобы предложить io_uring переписывать на Rust.

мне не говорили. Я думал что это улучшайкерство само по себе вредонос (неотключаемый бай дизайн, как всегда), а оно эвон как еще могет!

Это не про io_uring, а про несостоятельность eBPF-фильтрации вообще как методики обнаружения руткитов. Что давно было показано в другой ОС: если "антируткит" где-то наставил хуков, значит надо идти другим путём.

io_uring офигенная вещь, а то что какие-то перехватывалки в неё не научились - это проблема не уринга, а перехватывалок

как бы данные там все в момент io_uring_enter очевидно доступны - информация о системных вызовах лежит в памяти в кольцевом буфере. анализируй не хочу

Ураааа! Наконец-то хоть какая-то польза простым смертым от этой иоурины, попереломавшей все файловые системы!

>механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам

Предлагается детектить активность одного руткита с помощью другого.

Ради вашей безопасности, из за того что у них там в разработке (т.е он не работает на нормальной системе) руткит, предлагается :
разрешить BPF, и прикреплять BPF-программы к любым LSM-хукам.

Ну прям классический развод про дыры ради безопасности.

так.. все равно происходит чтение, все равно происходит подключение к сети.
я дальше половины новости не читала, но даже если это модуль ядра - будет чтение файла и отправка со стороны ядра.
MACи это явно увидят, lsm не дураками делался. ровно, как и подсистема аудита.

А надо было читать дальше:

"вместо перехвата системных вызовов рекомендовано использовать механизм KRSI ... даёт возможность отслеживать ... независимо от того, инициированы данные операции через специфичные системные вызовы или через io_uring."

Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.

> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.

Скажи, в какой, если ты читал дальше

>> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.
> Скажи, в какой, если ты читал дальше

Скажу, что ты слишком поторопился с троллингом. Ответ дан в самом первом (по времени) моём сообщении в этой теме. Попробуй его найти -- так ты покажешь, что есть хоть какой-то смысл с тобой говорить.

Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя и, опционально, защищаемой нагрузки. User-mode rootkit это программа, подменяющая  библиотеки и утилиты на подкрученные. Toolchain-level rootkit - это подкрученный toolchain.

Программа же, просто использующая непокрытую функциональность, непокрытую по той простой причине, что эта функциональность намеренно ускорена для HPC, для тех, кому нужна максимальная скорость во что бы то ни стало, кто специально ради этого готов пожертвовать безопасностью (именно поэтому io_uring требует спец. привилегий) - это не руткит.

Удивительно, что kernel-mode руткит может вообще ничего не хукать, но вышеотписавшийся эксперт ни за что его не найдёт. Например, эпический случай, когда драйвер первых версий Rustock просто лежал в ADS.

Если не хукает - то это не руткит. Смысл руткита - "мы вот сейчас сторожей подправим, так как самих сторожей сторожить некому".

Надо взять ядро 2.6, залатать все дыры и уязвимости в нем, и не трогать. Писать только модули к нему, а код ядра заморозить.

Кстати, вопрос, где смотреть сколько уязвимостей еще осталось в старых ядрах? На всяких cve базах не очень понятно, толи есть они, толи все залатали уже.

Чё 2.6 то ? 2.4 - самое православное ядро !

Это не про дыры, а про отсутствие защитного механизма в ядре. Так что надо внедрить подписи, UEFI, ну и засунуть PatсhGuard в Microsoft Pluton. ;)

Ок, делай

Но контейнеризация, всё-таки, нужна. Поэтому всё, что касается пространств имён придётся портирровать.

Нигде. Линукс CVE не вел, их философия: всё в git log. Читайте и вчитывайтесь.

Следующая новость -- опасность руткитов из-за

>> появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам.

BPF руткиты облепили LSM своими липкими хуками!

Мой байт-код ОПТИМИЗИРОВАННЕЕ, чем твой байт-код.
И хватит тут постоянно поминать своё липкий хук - мы всё-таки в приличном месте, тут дамы.

В каждой шутке есть доля шутки. Примерно так оно и развивалось в другой ОС. С чем и советуют ознакомиться авторы прототипа.

Не могут 10 лет родить асинхронный API.

Чем epoll не асинхронный? Давно рождён.

Так как раз родили. Но теперь секукакурщики завыли что распарсить его не могут. Привыкли к синхронному г**ну

Обнулили заодно местных анонимных экспертов, с важным видом поплёвывающих со своего дивана на советы начать с книжки Грега Хоглунда.

"Before we dive into the Linux ecosystem, let’s take a look at Windows because it highlights processes that need to be adopted in Linux."

Ого, вот тебе и безопасный линукс для которого "нет вирусов как в отсталой винде")
А ведь не первый раз. Bvp47 десять лет жил.

Кстати, кто что посоветует из адекватного современного, чем сейчас выявляют руткиты и вот это вот все? rkhunter не предлагать, смешно же.

Где выявлять и зачем? Верный способ остановить этот парад мракобесия: специально обученные люди обнаруживают в специально отведённом месте, а следом применяют административные меры к главарям секты "Вирусовнет", объявляя их соучастниками в утечках персданных и прочего.

как обычно мой дебиан в пролёте... на 4.19 ведре даже руткит не заработает...

Чтоб не ждать 6.6

io_uring_setup => SELinux/AppArmor

+ seccomp для фильтрации io_uring syscalls

> которые не анализируются типовыми инструментариями для выявления вредоносной активности.

Сколько io_uring лет? Что product managerы делают во время работы?

> рекомендовано использовать механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам

Ещё раз пять лет. Деньги платятся за плацебо и "чтоб было" из-за бюрократическо-юридических соображений.

> Подразумевается, что после успешной компрометации системы и получения прав root

Очередной молдавский вирус?

как запустить?

Ой-ой как же так получилось?
Может просто признать, что обнаружение руткита не доступно процессам из юзерленда.