概要

Linuxルートキットは、従来はWindowsのそれよりも注目を集めることは少なかったが、クラウドインフラストラクチャ、コンテナ、およびIoTデバイスにおけるLinuxの急速な採用により、脅威の状況は大きく変化した。セキュリティ研究者たちは、最新のLinuxルートキットがeBPFとio_uringといった正当なカーネルインターフェースを活用して、現代のエンドポイント検出と応答（EDR）システムを回避するための新たな手法を採用していると報告している。

eBPFの利用

拡張Berkeleyパケットフィルタ（eBPF）は、安全なパケットフィルタリングとカーネルトレースのために作成されたものである。Linuxカーネルバージョン4.8以降では、高度にプログラマブルなカーネル内の仮想マシンとして成長した。eBPFは、カスタムモジュールをロードしたりカーネルソースコードを変更することなく、安全にカーネル内でバイトコードを実行できる。

しかし、悪意のあるアクターは、eBPFがシステムコールのフックやトレースポイント、Linuxセキュリティモジュール（LSM）イベントに隠れたコードを接続するためのツールとしても使用できると認識した。

io_uringの活用

攻撃者はまた、io_uringを回避するための手段として活用している。Linux 5.1で導入されたio_uringは、共有メモリリングを通じて複数のシステム操作をバッチ処理するための高パフォーマンスの非同期I/Oインターフェースである。これは、システムコールのパフォーマンスオーバーヘッドを大幅に削減するように設計されている。

しかし、脅威アクターは、このバッチ処理機能が回避に最適であると発見した。io_uring_enter関数を使用して複数のファイル、ネットワーク、メモリ操作を一度に処理することで、ルートキットは観察可能なシステムコールイベントを大幅に減らすことができる。

セキュリティへの影響

これらの高度な、既存のシステムを活用した技術は、Linuxが現代のエンタープライズとクラウドアーキテクチャで優位を占めるにつれて、セキュリティチームが新しい低レベルのモニタリング戦略を開発する緊急性を高めている。

元記事: https://gbhackers.com/new-linux-rootkits-leverage-advanced-ebpf-and-io_uring-techniques/