રીંગરીપર એ Linux સિસ્ટમોને લક્ષ્ય બનાવતું એક નવું માલવેર કુટુંબ છે જે પરંપરાગત એન્ડપોઇન્ટ સંરક્ષણને ટાળવાની ક્ષમતા માટે અલગ છે. અસુમેળ I/O તકનીકોનો ઉપયોગ કરીને, આ પોસ્ટ-ઇન્ટ્રુઝન એજન્ટ મોનિટરિંગ સિસ્ટમ્સ માટે ન્યૂનતમ ફૂટપ્રિન્ટ સાથે ગુપ્ત કાર્યો કરે છે.
તેની ગુપ્તતાની ચાવી આમાં છે io_uring નો ઉપયોગ, એક આધુનિક કર્નલ ઇન્ટરફેસ જે તમને પરંપરાગત સિસ્ટમ કૉલ્સને ઉચ્ચ-પ્રદર્શન અસિંક્રોનસ કામગીરી સાથે બદલવાની મંજૂરી આપે છે, જે હુક્સ અને સિસ્ટમ કોલ ફિલ્ટરિંગ પર આધારિત EDR સોલ્યુશન્સને અંધારામાં છોડી દે છે.
રીંગરીપર શું છે અને તે શા માટે મહત્વનું છે
પીકસ સુરક્ષા વિશ્લેષકો દ્વારા ઓળખાયેલ શોષણ પછીના એજન્ટ તરીકે, રિંગરીપર પ્રારંભિક ઘૂસણખોરી પર ધ્યાન કેન્દ્રિત કરતું નથી, પરંતુ તે પછીના શાંત કાર્ય પર ધ્યાન કેન્દ્રિત કરે છે: ઓળખ, ડેટા સંગ્રહ અને દ્રઢતા, બધા એક પદ્ધતિસરના અભિગમ સાથે જે શોધને જટિલ બનાવે છે.
આ અસર માલવેરના એકલા કેસથી આગળ વધે છે: તેની સફળતા દર્શાવે છે કે સિસ્ટમકોલ્સને અટકાવવા પર આધાર રાખતી વ્યૂહરચનાઓ માં પ્રણાલીગત અંતર, કારણ કે io_uring દ્વારા સંચાલિત પ્રવૃત્તિઓ મોટે ભાગે પરંપરાગત ટેલિમેટ્રીના અવકાશની બહાર હોય છે.
io_uring વડે RingReaper શોધને કેવી રીતે ટાળે છે
જેવા લાક્ષણિક કાર્યોનો ઉપયોગ કરવાને બદલે read, write, recv, send o connect, રીંગરીપરનો આશરો લે છે io_uring પ્રિમિટિવ્સ (ઉદાહરણ તરીકે, io_uring_prep_*()), સિસ્ટમકોલ અવાજ ઘટાડવો અને EDR હુક્સ ટાળવા.
અમલના માર્ગોનો આ અવેજી સિંક્રનસ પેટર્નની અપેક્ષા રાખતા સાધનો માટે બ્લાઇન્ડ ઝોન બનાવે છે અને ઓછા ફોરેન્સિક નિશાન છોડે છે, ખાસ કરીને જ્યારે કામગીરી કર્નલ સ્ટ્રક્ચર્સ અથવા વર્ચ્યુઅલ ફાઇલ સિસ્ટમને અસર કરે છે /proc.
શોષણ પછીના તબક્કામાં જોવા મળેલી ક્ષમતાઓ
પ્રક્રિયા રિકોનિસન્સ દરમિયાન (MITRE ATT&CK) T1057), રિંગરીપર અસુમેળ ક્વેરીઝ દ્વારા પ્રક્રિયાઓ અને માલિકીની વિગતોની યાદી આપે છે /proc, અનુકરણ કરતી ઉપયોગિતાઓ જેમ કે ps સામાન્ય ચેતવણીઓ ચાલુ કર્યા વિના.
સક્રિય વપરાશકર્તાઓ અને સત્રોના મેપિંગ માટે (ATT&CK T1033), વિશ્લેષણ કરે છે /dev/pts અને તરફથી ટિકિટ /proc ટર્મિનલ પ્રવૃત્તિ અને બાજુની ગતિવિધિ અથવા ચઢાણ માટે સંભવિત સપાટીઓ ઓળખવા માટે.
કનેક્શન ઇન્વેન્ટરીમાં (ATT&CK T1049), કર્નલ નેટવર્ક કોષ્ટકો અને સોકેટ્સની અસુમેળ રીતે પૂછપરછ કરે છે, ના કાર્યોની નકલ કરે છે netstat/ss સિંક્રનસ કોલ્સનો આશરો લીધા વિના, જે તેમની દૃશ્યતા ઘટાડે છે.
ડેટા સંગ્રહ માટે (ATT&CK) T1005), ફાઇલોમાંથી સંવેદનશીલ માહિતી કાઢી શકે છે જેમ કે /etc/passwd દૃશ્યમાન સાધનોનો ઉપયોગ કર્યા વિના (cat, getent), અને વિશેષાધિકારો વધારવા માટે (ATT&CK) T1068) SUID બાઈનરી અને શોષણ કરી શકાય તેવી નબળાઈઓ માટે શોધને સ્વચાલિત કરે છે.
પેલોડ અને કામગીરીની પદ્ધતિ
ઓપરેટર એક કાર્યકારી ડિરેક્ટરી સેટ કરે છે ($WORKDIR) જેમાંથી તમે દોડો છો વિશિષ્ટ મોડ્યુલો જે અલગ કાર્યોને સમાવિષ્ટ કરે છે, રડાર હેઠળ રહેવા માટે io_uring દ્વારા તમામ કામગીરીને ચેનલ કરે છે.
"$WORKDIR"/cmdMey"$WORKDIR"/executePs: ગણતરી ક્વેરીઝ દ્વારા પ્રક્રિયાઓ અને સિસ્ટમ મેટાડેટાના/proc."$WORKDIR"/netstatConnections: કનેક્શન અને સોકેટ્સની યાદી કર્નલ નેટવર્ક કોષ્ટકોમાંથી, સ્ટીલ્થ વિકલ્પ anetstat."$WORKDIR"/loggedUsers: નો સહસંબંધ PTS સત્રો y સક્રિય વપરાશકર્તાઓ mediante/dev/ptsy/proc."$WORKDIR"/fileRead: અસુમેળ વાંચન સંવેદનશીલ ફાઇલો જેમ કે/etc/passwd."$WORKDIR"/privescChecker: SUID બાઈનરી ચેક અને સ્કેલિંગ શરતો."$WORKDIR"/selfDestruct: અસુમેળ કાઢી નાખવું મુશ્કેલ બનાવવા માટે તેમની પોતાની કલાકૃતિઓનું ફોરેન્સિક વિશ્લેષણ.
ની પદ્ધતિનો ખાસ ઉલ્લેખ કરવો જોઈએ સ્વ-બચાવ: અસુમેળ બાઈનરી અને ટ્રેસ ઇરેઝર પરંપરાગત ફાઇલ ઓપરેશન મોનિટરને ટાળે છે અને ફૂટપ્રિન્ટ ઘટાડવા માટે ફાઇલ સ્વચ્છતાની ચકાસણી કરે છે.
સંરક્ષણ માટે અસરો
સ્થાપત્ય જે પર આધાર રાખે છે સિસ્ટમકોલ ઇન્ટરસેપ્શન અને પ્રમાણભૂત ટૂલ પેટર્ન નોંધપાત્ર ગાબડાઓનો સામનો કરે છે: જો પ્રવૃત્તિ io_uring દ્વારા વહે છે, તો અપેક્ષિત સિગ્નલનો મોટો ભાગ EDR ટેલિમેટ્રી સુધી પહોંચતો નથી.
આ અભિગમ એ દર્શાવે છે કે વલણ બિંદુ નિયંત્રણથી બચવા માટે કાયદેસર કર્નલ ઇન્ટરફેસનો ઉપયોગ કરવામાં આવે છે, અને સર્વર વાતાવરણમાં સાધનસંપન્ન કલાકારો દ્વારા વધુ અપનાવવાની અપેક્ષા રાખે છે Linux અને ક્લાઉડ પર અપલોડ કરે છે.
સમાધાન અને શોધ વ્યૂહરચનાના સૂચકાંકો
સુરક્ષા ટીમોએ પ્રાથમિકતા આપવી જોઈએ io_uring ઓડિટ: જેવા ફોન કરે છે io_uring_setup અથવા પેટર્ન io_uring_prep_*() બિન-માનક દ્વિસંગીઓમાં, ખાસ કરીને જો તેઓ વપરાશકર્તા ડિરેક્ટરીઓ અથવા કામચલાઉ પાથમાં રહે છે.
તે વિશે ચેતવણી આપવા યોગ્ય છે અસામાન્ય વાંચન de /proc, /dev/pts o /etc/passwd એવી પ્રક્રિયાઓ દ્વારા કરવામાં આવે છે જે સામાન્ય ઉપયોગિતાઓને બોલાવતી નથી (ps, who, netstat) પરંતુ સમાન પરિણામો દર્શાવે છે.
અન્ય સંકેતોમાં શામેલ છે નેટવર્ક ગણતરી ઓછા સિસ્ટમ કોલ અવાજ, સ્વ-ડિલીટીંગ એક્ઝિક્યુટેબલ્સ અને તે જ મોડ્યુલોના પુનરાવર્તિત ક્રમ સાથે $WORKDIR, નાના સમય વિન્ડોમાં સહસંબંધિત.
ઘટાડાના પગલાં તરીકે, તે સલાહભર્યું છે દેખરેખ મજબૂત બનાવો કર્નલ રનટાઇમ પર, પ્રક્રિયા-સ્તરના વર્તણૂકોને સહસંબંધિત કરો અને, જ્યાં શક્ય હોય ત્યાં, સિસ્ટમો પર io_uring ને પ્રતિબંધિત અથવા અક્ષમ કરો જ્યાં તે આવશ્યક નથી.
રીંગરીપરનો દેખાવ પુષ્ટિ કરે છે કે દુરુપયોગ io_uring સિદ્ધાંતથી વ્યવહારમાં આગળ વધ્યું છે: એક પોસ્ટ-શોષણ એજન્ટ જે અસુમેળ કામગીરી સાથે ઓળખવા, એકત્રિત કરવા અને છુપાવવા માટે સક્ષમ છે, જેને EDR દૃશ્યતાની સમીક્ષા કરવાની, કર્નલ અવલોકનક્ષમતા વધારવાની અને Linux માં નિયંત્રણોને સમાયોજિત કરવાની જરૂર છે જેથી તે હાલમાં જે અંતરનો ઉપયોગ કરે છે તેને પૂર્ણ કરી શકે.
