Появился новый инструмент под названием RingReaper, который вызывает серьезную озабоченность как у специалистов по защите данных, так и у киберпреступников. Этот инструмент использует легитимную функцию ядра Linux - io_uring - для обхода современных систем обнаружения и реагирования на угрозы (EDR). Разработчикам защитных решений необходимо срочно адаптироваться к новым методам атак, поскольку RingReaper демонстрирует высокий уровень скрытности и эффективности.
Как работает технология io_uring и почему она опасна
io_uring была представлена в ядре Linux версии 5.1 для оптимизации ввода-вывода (I/O) и повышения производительности. В отличие от традиционной модели, где каждая операция с файлами или сетью вызывает отдельный системный вызов (syscall), io_uring позволяет процессу отправлять множество запросов в общую очередь. Ядро обрабатывает их асинхронно, минимизируя количество видимых EDR-системам вызовов.
Это создает серьезную проблему для защитных механизмов, так как большинство EDR-решений полагаются на мониторинг системных вызовов для выявления подозрительной активности. С помощью io_uring злоумышленники могут выполнять операции чтения, записи, открытия файлов и сетевого взаимодействия, оставаясь практически незаметными.
Функционал RingReaper и его возможности
RingReaper представляет собой бэкдор, который пока не обладает функцией персистентности, но уже демонстрирует высокую гибкость и скрытность. Он подключается к серверу, контролируемому злоумышленником (C2), получает команды и выполняет различные задачи пост-эксплуатации.
Среди ключевых возможностей инструмента: сетевое взаимодействие с использованием io_uring_prep_send и io_uring_prep_recv, работа с файлами через io_uring_prep_openat и io_uring_prep_read, загрузка и выгрузка данных без явных вызовов read/write, выполнение удаленных команд (например, сбор информации о пользователях и процессах), а также самоудаление с помощью io_uring_prep_unlinkat. Сервер управления (C2), написанный на Python, позволяет злоумышленникам взаимодействовать с зараженной системой в интерактивном режиме.
Почему EDR не справляются с обнаружением
Современные EDR-системы для Linux в основном следят за классическими системными вызовами, такими как open, connect, read и write, используя методы перехвата (hooks) или eBPF-пробы. Однако RingReaper обходит эту защиту, перенаправляя операции через io_uring, что значительно сокращает количество событий, фиксируемых EDR.
Проблема усугубляется тем, что большинство коммерческих EDR-решений пока не адаптированы для глубокого мониторинга операций, связанных с io_uring. В результате вредоносная активность может маскироваться под легитимный трафик, особенно если он передается через стандартные порты (например, 443 для HTTPS).
Что могут сделать защитники?
Хотя RingReaper остается сложным для обнаружения инструментом, специалисты по кибербезопасности уже сейчас могут принимать меры. В первую очередь EDR-разработчикам необходимо обновлять логику обнаружения, добавляя мониторинг io_uring_enter и других связанных вызовов. Кроме того, важно изучать внутренние механизмы работы io_uring, чтобы лучше понимать, как злоумышленники могут использовать эту технологию.
Эксперты также рекомендуют применять дополнительные методы защиты, такие как поведенческий анализ и контроль целостности процессов. Поскольку атаки с использованием io_uring будут становиться все более распространенными, своевременное обновление защитных систем и обучение специалистов играют ключевую роль в противодействии новым угрозам.
Заключение
RingReaper - это очередное подтверждение того, что злоумышленники постоянно ищут новые способы обхода защитных механизмов. Использование легитимных возможностей ядра Linux для скрытного выполнения вредоносных операций делает такие атаки особенно опасными. Компаниям и специалистам по безопасности необходимо заранее готовиться к подобным угрозам, внедряя комплексные меры защиты и следя за развитием методов атак.
