LinuxのRootkitは、攻撃者が古いカーネルモジュールの手口から脱却し、eBPFやio_uringのような最新のLinux機能を悪用し始めるにつれて、ますます高度化しています。
これらのツールはパフォーマンス、トレーシング、およびシステムの柔軟性のために構築されました。しかし、セキュリティ研究者は、これらがマルウェアの隠蔽を助けることもできると警告しています。このシフトは、Linuxの脅威がオペレーティングシステム自体と共に進化する方法を示しています。
Rootkitは、システム上の悪意のある活動を隠すために設計されたマルウェアです。即座に明らかなダメージを引き起こす代わりに、ステルス、永続性、および長期的なアクセスに焦点を当てています。
Rootkitはファイル、プロセス、ネットワークアクティビティ、および独自のコードの一部さえも隠すことができます。Linuxでは、共有ライブラリをハイジャックしてユーザー空間に存在するか、コアオペレーティングシステムの動作を変更してカーネル空間に存在してきました。
古いLinux Rootkitは、システムコールをフックして活動を隠すために、ロード可能なカーネルモジュール(LKM)に依存することが多くありました。
これらの手法は依然として重要ですが、最新のLinuxシステムがセキュアブート、モジュール署名、およびより厳密なカーネルメモリ制御などの強力な保護を含むため、使用がより難しくなっています。
その結果、攻撃者は従来のモジュールに依存しない方法を探索しています。
最も重要な新しいパスの1つはeBPFです。このLinuxサブシステムは、トレーシングとフィルタリングのためにカーネルでコードを実行することを可能にします。
eBPFプログラムがトレースポイント、kprobe、およびその他のカーネルイベントに接続できるため、攻撃者は目に見えるカーネルモジュールをロードせずに動作を監視または変更するためにそれらを使用する可能性があります。
これにより、主に疑わしいモジュールを検索するツールにとって検出がより難しくなります。公開されたプルーフオブコンセプトプロジェクトは、eBPFがシステムコール傍受、秘密通信、およびステルス永続性のために悪用される可能性があることをすでに示しています。
別の新しい技術にはio_uringが含まれます。これはシステムコールオーバーヘッドを削減するために導入された高性能の非同期I/Oインターフェースです。
研究者は、Rootkitがio_uringを悪用して、目に見えるシステムコールイベントが少ないファイル、ネットワーク、およびプロセスアクティビティを実行できると言っています。
これにより、システムコール監視に大きく依存するセキュリティツールが弱まる可能性があります。eBPFとは異なり、io_uringはそれ自体はフックシステムではありません。しかし、それでも可視性を減らし、マルウェアが通常のアクティビティにブレンドするのを助けることができます。
危険は、マルウェア自体だけでなく、信頼されたLinux機能にブレンドする方法でもあります。攻撃者は、うるさいまたは時代遅れのRootkitメソッドのみに依存する必要がなくなりました。
彼らは、管理者がすでに本番サーバーで見ることを期待しているかもしれない正当なサブシステムを悪用することができます。
間違いはシステムをクラッシュさせ、侵入を露出させる可能性があります。それでも、Linuxは現在、クラウドプラットフォーム、コンテナ、通信システム、IoT、およびエンタープライズインフラストラクチャの中心であり、高価値のターゲットにしています。
eBPFおよびio_uringベースのRootkit技術の上昇は、防御者が従来のファイルとプロセス監視だけでなく、カーネルアクティビティへのより深い可視性が必要であることを示唆しています。Linuxの脅威がより最新になるにつれて、検出戦略は同等の速度で進化する必要があります。
翻訳元: https://cyberpress.org/linux-rootkits-go-stealthy/