InfoQ
·
ARMO研究揭示io_uring根工具技术绕过Linux安全工具
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
ARMO的研究揭示了Linux运行时安全工具中的重大漏洞,源于io_uring接口,攻击者可利用此漏洞绕过传统监控。研究团队开发了名为'Curing'的rootkit,成功避开主要安全工具的检测。研究建议安全供应商应超越简单的系统调用监控,采用KRSI等新方法提升检测能力。
🎯
关键要点
- ARMO研究揭示Linux运行时安全工具中的重大漏洞,源于io_uring接口,攻击者可利用此漏洞绕过传统监控。
- 研究团队开发了名为'Curing'的rootkit,成功避开主要安全工具的检测,包括Falco和Microsoft Defender for Endpoint。
- io_uring接口于Linux内核5.1中引入,提供高性能异步I/O,绕过传统监控方法。
- 研究表明,现有的开源和商业安全解决方案普遍存在漏洞,Falco和Microsoft Defender在检测io_uring操作时效果不佳。
- 当前的eBPF安全方法存在基本局限,安全供应商需超越简单的系统调用监控以应对现代规避技术。
- ARMO提出了检测io_uring攻击的几种方法,最有前景的长期解决方案是实施KRSI。
- 建议监控异常的io_uring使用模式,并寻找内核栈中的替代挂钩点以提高检测能力。
- 该漏洞对云原生环境具有重要意义,强调安全解决方案需与内核特性演变兼容,避免依赖过时的监控方法。
❓
延伸问答
io_uring接口是什么,它有什么作用?
io_uring接口是Linux内核5.1中引入的一种异步I/O机制,旨在通过用户空间和内核空间之间的共享环形缓冲区提供高性能的异步I/O。
ARMO的研究发现了什么安全漏洞?
ARMO的研究揭示了Linux运行时安全工具中的重大漏洞,攻击者可以利用io_uring接口绕过传统的系统调用监控。
Curing rootkit是如何工作的?
Curing rootkit通过io_uring操作完全运行,成功避开了主要安全工具的检测,展示了完整的命令与控制功能。
现有的安全工具在检测io_uring操作时表现如何?
现有的安全工具如Falco和Microsoft Defender在检测io_uring操作时效果不佳,普遍存在漏洞。
ARMO建议如何提高对io_uring攻击的检测能力?
ARMO建议采用KRSI等新方法,监控异常的io_uring使用模式,并寻找内核栈中的替代挂钩点以提高检测能力。
这个漏洞对云原生环境有什么影响?
该漏洞对云原生环境具有重要意义,因为Linux是容器化基础设施的基础,单一的安全盲点可能对整个部署产生连锁反应。
➡️
