Surgiu uma nova campanha de malware apelidada RingReaper, direcionando servidores com recursos avançados de pós-exploração que exploram os sistemas de E/S assíncronos io_uring do kernel para ignorar os sistemas de detecção e resposta de endpoint (EDR).
Esse agente sofisticado minimiza a dependência de chamadas tradicionais do sistema, como leitura, gravação, RECV, envio ou conexão, usando primitivas io_uring como io_uring_prep_* para operações furtivas.
Ao executar tarefas de forma assíncrona, o RingReaper reduz a visibilidade da telemetria e evita mecanismos de detecção baseados em gancho comumente empregados por ferramentas de segurança.
Os pesquisadores de segurança cibernética têm observado Esse malware em campanhas ativas, destacando seu potencial para facilitar a coleta secreta de dados, a escalada de privilégios e o artefato escondido em ambientes comprometidos de Linux.
Exploração do kernel assíncrono
A inovação principal do RingReaper está no abuso de io_uring para executar tarefas de descoberta e enumeração sem desencadear alertas de monitoramento padrão.
Para a descoberta de processos em Mitre ATT & CK T1057, o malware implanta cargas como “$ workdir”/cmdme e “$ workdir”/executioneps, que consultam assíncrono o sistema de arquivos/mimicking para recuperar os nomes de processos, nomes, proprietários e relacionamentos hierárquicos, alojamentos como PS, como PS, But.
Da mesma forma, para enumerar sessões ativas de PTS e usuários de login (T1033), os “$ workdir” /LoggedUsers Payload Scanns /dev /pts e / /Proc entradas para mapear a atividade do usuário, identificando oportunidades para movimento lateral ou escalada, evitando comandos síncronos como quem ou w.
Na Discovery de conexão de rede (T1049), “$ workdir”/netStatConnections utiliza io_uring para acessar as tabelas de rede do kernel, coletando detalhes sobre endereços IP, portas, estados e processos associados efetivamente uma alternativa furtiva ao NetStat ou SS.
Essa abordagem assíncrona não apenas corta o ruído do sistema, mas também complica a análise forense, pois deixa traços mínimos nos logs EDR.
Para coleta de dados (T1005), o RingReaper emprega “$ workdir”/fileread para extrair as informações de usuário de forma assíncrona de/etc/passwd, incluindo nomes de usuário, UIDs, GIDs e conchas, sem invocar gato ou getent.
Os esforços de escalada de privilégios (T1068) envolvem “$ workdir”/privscchecker, que investiga os binários suids abusáveis e Vulnerabilidades do kernelautomatizando verificações para elevar o acesso com eficiência.
A evasão de defesa (T1564) é alcançada via “$ workdir”/autodestruição, que usa io_uring para auto -delidação, seguido de comandos de verificação como LS -l para confirmar a limpeza, reduzindo assim as pegadas forenses.
Estratégias de detecção
As implicações do RingReaper são profundas, pois ressalta as vulnerabilidades em ambientes Linux, onde as soluções EDR se concentram nos syscalls convencionais, potencialmente deixando os canais de E/S assíncronos sub-monitorados.
As equipes de segurança devem priorizar a detecção, sinalizando leituras anormais baseadas em io_uring de /proc, /dev /pts, ou arquivos sensíveis como /etc /passwd, especialmente de binários não padrão em diretórios de usuários.
O monitoramento da enumeração de rede de baixa sobrecarga sem invocações de ferramentas padrão, executáveis de auto-delidação ou sequências de cargas úteis especializadas do mesmo $ workdir podem revelar infecções.
Os indicadores comportamentais incluem padrões de io_uring primitivos que substituem os syscalls, ausência de comandos esperados, apesar da atividade de enumeração e operações assíncronas incomuns nas estruturas do kernel.
Para mitigar, as organizações são aconselhadas a aprimorar a auditoria de io_uring em kernels, correlacionar comportamentos suspeitos de processo e restringir o acesso não privilegiado a interfaces vulneráveis, fortalecendo as defesas contra essa ameaça em evolução.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!