Нове програмне забезпечення RingReaper загрожує Linux системам

RingReaper – новітнє складне шкідливе програмне забезпечення, яке націлене на Linux системи. Воно дозволяє додаткам виконувати операції, такі як читання, запис і отримання файлів. Замість традиційних системних викликів, RingReaper використовує io_uring, що суттєво зменшує сліди, на які спираються звичайні інструменти захисту кінцевих точок для виявлення шкідливої поведінки в системі. Завдяки цьому, RingReaper стає практично невидимим. Це одне з перших шкідливих програм після експлуатації, яке використовує io_uring для обходу безпеки.

Методи виявлення RingReaper

Згідно блогу на платформі Picus Security Validation Platform, автор Sıla Özeren Hacıoğlu зазначає: “Цей метод дозволяє програмному забезпеченню ефективно збирати дані сеансів користувачів, не покладаючись на традиційні синхронні команди, такі як who або w.” Özeren продовжує: “Таким чином, це зменшує накладні витрати системних викликів і мінімізує ймовірність виявлення інструментами моніторингу безпеки.”

У блозі зазначено декілька методів виявлення, включаючи моніторинг аномальних асинхронних зчитувань з /proc за допомогою io_uring, відзначення процесів, що перераховують PTS сеанси або активних користувачів (поза звичними інструментами адміністратора), пошук несподіваних бінарних файлів у каталогах користувачів, виявлення доступу до таблиць мережевих ядра за допомогою io_uring, моніторинг незвичних процесів, які збирають інформацію про підключення без використання стандартних мережевих інструментів, та багато інших.

Як захистити себе від RingReaper

Звісно, блог також вказує на платформу Picus Security Validation Platform як на засіб для захисту від RingReaper. Використовуйте цю інформацію на свій розсуд. Не забудьте ознайомитися з усім блогом, щоб зрозуміти повний обсяг того, що таке RingReaper і чим воно займається.