forum.opennet.ru - "Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов" (35)

"Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Прототип руткита для Linux, использующий io_uring для обхода анализаторов системных вызовов"	+/–
Сообщение от opennews (??), 24-Апр-25, 22:25
Исследователи из компании ARMO продемонстрировали возможность создания руткитов, не использующих специфичные системные вызовы для выполнения типовых операций, таких как чтение/запись файлов и приём команд от внешнего сервера. Вместо системных вызовов для выполнения сетевых и файловых операций предложено использовать интерфейс асинхронного ввода/вывода io_uring, поддерживаемый начиная с ядра Linux 5.1... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63136
Ответить \| Правка \| Cообщить модератору

Оглавление

Хостовая система не видит, что происходит в контейнере Или эти инструменты в т, Аноним (1), 22:25 , 24-Апр-25, (1) –1

Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация , Аноним (2), 22:26 , 24-Апр-25, (2) +1

https ru wikipedia org wiki D0 9A D0 BE D0 BD D1 82 D0 B5 D0 B9 D0 BD D0 B5 D, Аноним (1), 22:39 , 24-Апр-25, (3) +3

Просто не читайте до обеда википедию , АнонимЯ (?), 02:07 , 25-Апр-25, (13) +4
Ничего странного, как всегда надо начинать с определений - они могут сильно отли, Аноним (18), 07:58 , 25-Апр-25, (18) +1

Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая п, ИмяХ (ok), 22:50 , 24-Апр-25, (4) +4

Кому это нам Линусу и Ко Так им пофиг на мнение каких-то там анонимов с опенне, Аноним (5), 23:09 , 24-Апр-25, (5) +1

И набегут новые мейнтейнеры , чтобы предложить io_uring переписывать на Rust , Аноним (6), 23:29 , 24-Апр-25, (6) +5

мне не говорили Я думал что это улучшайкерство само по себе вредонос неотключа, нах. (?), 23:32 , 24-Апр-25, (9)
Это не про io_uring, а про несостоятельность eBPF-фильтрации вообще как методики, n00by (ok), 10:14 , 25-Апр-25, (24) +1
Скрыто модератором, vitalif (ok), 13:44 , 25-Апр-25, (37)

Ураааа Наконец-то хоть какая-то польза простым смертым от этой иоурины, поперел, нах. (?), 23:31 , 24-Апр-25, (7) +1
Предлагается детектить активность одного руткита с помощью другого , Аноним (6), 23:32 , 24-Апр-25, (8) +8

Ради вашей безопасности, из за того что у них там в разработке т е он не работа, Аноним (20), 08:44 , 25-Апр-25, (20) –1

так все равно происходит чтение, все равно происходит подключение к сети я дал, мяв (?), 01:05 , 25-Апр-25, (12) +1

А надо было читать дальше вместо перехвата системных вызовов рекомендовано испо, n00by (ok), 10:22 , 25-Апр-25, (25)

Скажи, в какой, если ты читал дальше, Anonimous (?), 12:33 , 25-Апр-25, (34)

Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя , Аноним (14), 02:09 , 25-Апр-25, (14) +4

Удивительно, что kernel-mode руткит может вообще ничего не хукать, но вышеотписа, n00by (ok), 10:24 , 25-Апр-25, (26) +1

Надо взять ядро 2 6, залатать все дыры и уязвимости в нем, и не трогать Писать , Аноним (15), 02:26 , 25-Апр-25, (15) +1

Скрыто модератором, 1 (??), 09:18 , 25-Апр-25, (22)
Это не про дыры, а про отсутствие защитного механизма в ядре Так что надо внедр, n00by (ok), 10:35 , 25-Апр-25, (28)
Ок, делай, Герострат (?), 11:41 , 25-Апр-25, (31)
Но контейнеризация, всё-таки, нужна Поэтому всё, что касается пространств имён , Аноним (32), 12:22 , 25-Апр-25, (32)

Следующая новость -- опасность руткитов из-заBPF руткиты облепили LSM своими лип, Аноним (16), 02:51 , 25-Апр-25, (16)

Мой байт-код ОПТИМИЗИРОВАННЕЕ, чем твой байт-код И хватит тут постоянно поминать, Жироватт (ok), 08:03 , 25-Апр-25, (19)
В каждой шутке есть доля шутки Примерно так оно и развивалось в другой ОС С че, n00by (ok), 10:31 , 25-Апр-25, (27)

Не могут 10 лет родить асинхронный API , Шарп (ok), 09:12 , 25-Апр-25, (21)

Чем epoll не асинхронный Давно рождён , Аноним (32), 12:31 , 25-Апр-25, (33)
Так как раз родили Но теперь секукакурщики завыли что распарсить его не могут , vitalif (ok), 13:45 , 25-Апр-25, (38)

Обнулили заодно местных анонимных экспертов, с важным видом поплёвывающих со сво, n00by (ok), 10:12 , 25-Апр-25, (23) +1
Ого, вот тебе и безопасный линукс для которого нет вирусов как в отсталой винде, Аноним (-), 10:50 , 25-Апр-25, (29) –1
Кстати, кто что посоветует из адекватного современного, чем сейчас выявляют рутк, Аноним (30), 11:13 , 25-Апр-25, (30)
А когда ожидать местного блаженного Он тут недавно мне рассказывал как это заме, Аноним (35), 12:39 , 25-Апр-25, (35)
как обычно мой дебиан в пролёте на 4 19 ведре даже руткит не заработает , Аноним (36), 13:30 , 25-Апр-25, (36)

Сообщения [Сортировка по времени | RSS]

1. "Прототип руткита для Linux, использующий io_uring для обхода..." –1 +/–

Сообщение от Аноним (1), 24-Апр-25, 22:25

> В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий в контейнерах
Хостовая система не видит, что происходит в контейнере?
Или эти "инструменты" в тех же ns работают?

Ответить | Правка | Наверх | Cообщить модератору

2. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от Аноним (2), 24-Апр-25, 22:26

Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация.

Ответить | Правка | Наверх | Cообщить модератору

3. "Прототип руткита для Linux, использующий io_uring для обхода..." +3 +/–

Сообщение от Аноним (1), 24-Апр-25, 22:39

> это вам не виртуализация.
https://ru.wikipedia.org/wiki/%D0%9A%D0%...
Вообще контейнеризация относится к виртуализации (что как по мне странно).

> Конечно видит, ядро же общее для всех контейнеров,
Вот я тоже не понял, как из непривилегированного контейнера можно что-то там скрыть, без LPE на уровне ядра.
А то что васяноподелки... То есть "инструменты мониторинга" что-то там не видят, то вопрос к их создателям.

Ответить | Правка | Наверх | Cообщить модератору

13. "Прототип руткита для Linux, использующий io_uring для обхода..." +4 +/–

Сообщение от АнонимЯ (?), 25-Апр-25, 02:07

> Вообще контейнеризация относится к виртуализации (что как по мне странно).
Просто не читайте до обеда википедию.

Ответить | Правка | Наверх | Cообщить модератору

18. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от Аноним (18), 25-Апр-25, 07:58

Ничего странного, как всегда надо начинать с определений - они могут сильно отличаться у разных групп. Например, виртуализация может быть разного уровня - железа, ядра, ос, прикладного. Как пример последнего - пачка разнородных питоновских окружений, каждый со своим интерпретатором и набором библиотек/их версий.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "Прототип руткита для Linux, использующий io_uring для обхода..." +4 +/–

Сообщение от ИмяХ (ok), 24-Апр-25, 22:50

Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая парадная дверь для вредноносов. А вы не послушали. Вот теперь расхлёбывайте.

Ответить | Правка | Наверх | Cообщить модератору

5. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от Аноним (5), 24-Апр-25, 23:09

Кому это нам? Линусу и Ко? Так им пофиг на мнение каких-то там анонимов с опеннета. Денежки получили, теперь ещё заработают на закрытии этой дыры.

Ответить | Правка | Наверх | Cообщить модератору

6. "Прототип руткита для Linux, использующий io_uring для обхода..." +5 +/–

Сообщение от Аноним (6), 24-Апр-25, 23:29

И набегут новые "мейнтейнеры", чтобы предложить io_uring переписывать на Rust.

Ответить | Правка | Наверх | Cообщить модератору

9. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от нах. (?), 24-Апр-25, 23:32

мне не говорили. Я думал что это улучшайкерство само по себе вредонос (неотключаемый бай дизайн, как всегда), а оно эвон как еще могет!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

24. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от n00by (ok), 25-Апр-25, 10:14

Это не про io_uring, а про несостоятельность eBPF-фильтрации вообще как методики обнаружения руткитов. Что давно было показано в другой ОС: если "антируткит" где-то наставил хуков, значит надо идти другим путём.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

37. Скрыто модератором +/–

Сообщение от vitalif (ok), 25-Апр-25, 13:44

io_uring офигенная вещь, а то что какие-то перехватывалки в неё не научились - это проблема не уринга, а перехватывалок
как бы данные там все в момент io_uring_enter очевидно доступны - информация о системных вызовах лежит в памяти в кольцевом буфере. анализируй не хочу

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от нах. (?), 24-Апр-25, 23:31

Ураааа! Наконец-то хоть какая-то польза простым смертым от этой иоурины, попереломавшей все файловые системы!

Ответить | Правка | Наверх | Cообщить модератору

8. "Прототип руткита для Linux, использующий io_uring для обхода..." +8 +/–

Сообщение от Аноним (6), 24-Апр-25, 23:32

>механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам
Предлагается детектить активность одного руткита с помощью другого.

Ответить | Правка | Наверх | Cообщить модератору

20. "Прототип руткита для Linux, использующий io_uring для обхода..." –1 +/–

Сообщение от Аноним (20), 25-Апр-25, 08:44

Ради вашей безопасности, из за того что у них там в разработке (т.е он не работает на нормальной системе) руткит, предлагается :
разрешить BPF, и прикреплять BPF-программы к любым LSM-хукам.
Ну прям классический развод про дыры ради безопасности.

Ответить | Правка | Наверх | Cообщить модератору

12. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от мяв (?), 25-Апр-25, 01:05

так.. все равно происходит чтение, все равно происходит подключение к сети.
я дальше половины новости не читала, но даже если это модуль ядра - будет чтение файла и отправка со стороны ядра.
MACи это явно увидят, lsm не дураками делался. ровно, как и подсистема аудита.

Ответить | Правка | Наверх | Cообщить модератору

25. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от n00by (ok), 25-Апр-25, 10:22

А надо было читать дальше:
"вместо перехвата системных вызовов рекомендовано использовать механизм KRSI ... даёт возможность отслеживать ... независимо от того, инициированы данные операции через специфичные системные вызовы или через io_uring."
Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.

Ответить | Правка | Наверх | Cообщить модератору

34. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Anonimous (?), 25-Апр-25, 12:33

> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.
Скажи, в какой, если ты читал дальше

Ответить | Правка | Наверх | Cообщить модератору

14. "Прототип руткита для Linux, использующий io_uring для обхода..." +4 +/–

Сообщение от Аноним (14), 25-Апр-25, 02:09

Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя и, опционально, защищаемой нагрузки. User-mode rootkit это программа, подменяющая библиотеки и утилиты на подкрученные. Toolchain-level rootkit - это подкрученный toolchain.
Программа же, просто использующая непокрытую функциональность, непокрытую по той простой причине, что эта функциональность намеренно ускорена для HPC, для тех, кому нужна максимальная скорость во что бы то ни стало, кто специально ради этого готов пожертвовать безопасностью (именно поэтому io_uring требует спец. привилегий) - это не руткит.

Ответить | Правка | Наверх | Cообщить модератору

26. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от n00by (ok), 25-Апр-25, 10:24

Удивительно, что kernel-mode руткит может вообще ничего не хукать, но вышеотписавшийся эксперт ни за что его не найдёт. Например, эпический случай, когда драйвер первых версий Rustock просто лежал в ADS.

Ответить | Правка | Наверх | Cообщить модератору

15. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от Аноним (15), 25-Апр-25, 02:26

Надо взять ядро 2.6, залатать все дыры и уязвимости в нем, и не трогать. Писать только модули к нему, а код ядра заморозить.
Кстати, вопрос, где смотреть сколько уязвимостей еще осталось в старых ядрах? На всяких cve базах не очень понятно, толи есть они, толи все залатали уже.

Ответить | Правка | Наверх | Cообщить модератору

22. Скрыто модератором +/–

Сообщение от 1 (??), 25-Апр-25, 09:18

Чё 2.6 то ? 2.4 - самое православное ядро !

Ответить | Правка | Наверх | Cообщить модератору

28. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от n00by (ok), 25-Апр-25, 10:35

Это не про дыры, а про отсутствие защитного механизма в ядре. Так что надо внедрить подписи, UEFI, ну и засунуть PatсhGuard в Microsoft Pluton. ;)

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

31. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Герострат (?), 25-Апр-25, 11:41

Ок, делай

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

32. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Аноним (32), 25-Апр-25, 12:22

Но контейнеризация, всё-таки, нужна. Поэтому всё, что касается пространств имён придётся портирровать.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

16. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Аноним (16), 25-Апр-25, 02:51

Следующая новость -- опасность руткитов из-за
>> появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам.
BPF руткиты облепили LSM своими липкими хуками!

Ответить | Правка | Наверх | Cообщить модератору

19. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Жироватт (ok), 25-Апр-25, 08:03

Мой байт-код ОПТИМИЗИРОВАННЕЕ, чем твой байт-код.
И хватит тут постоянно поминать своё липкий хук - мы всё-таки в приличном месте, тут дамы.

Ответить | Правка | Наверх | Cообщить модератору

27. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от n00by (ok), 25-Апр-25, 10:31

В каждой шутке есть доля шутки. Примерно так оно и развивалось в другой ОС. С чем и советуют ознакомиться авторы прототипа.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

21. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Шарп (ok), 25-Апр-25, 09:12

Не могут 10 лет родить асинхронный API.

Ответить | Правка | Наверх | Cообщить модератору

33. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Аноним (32), 25-Апр-25, 12:31

Чем epoll не асинхронный? Давно рождён.

Ответить | Правка | Наверх | Cообщить модератору

38. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от vitalif (ok), 25-Апр-25, 13:45

Так как раз родили. Но теперь секукакурщики завыли что распарсить его не могут. Привыкли к синхронному г**ну

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

23. "Прототип руткита для Linux, использующий io_uring для обхода..." +1 +/–

Сообщение от n00by (ok), 25-Апр-25, 10:12

Обнулили заодно местных анонимных экспертов, с важным видом поплёвывающих со своего дивана на советы начать с книжки Грега Хоглунда.
"Before we dive into the Linux ecosystem, let’s take a look at Windows because it highlights processes that need to be adopted in Linux."

Ответить | Правка | Наверх | Cообщить модератору

29. "Прототип руткита для Linux, использующий io_uring для обхода..." –1 +/–

Сообщение от Аноним (-), 25-Апр-25, 10:50

Ого, вот тебе и безопасный линукс для которого "нет вирусов как в отсталой винде")
А ведь не первый раз. Bvp47 десять лет жил.

Ответить | Правка | Наверх | Cообщить модератору

30. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Аноним (30), 25-Апр-25, 11:13

Кстати, кто что посоветует из адекватного современного, чем сейчас выявляют руткиты и вот это вот все? rkhunter не предлагать, смешно же.

Ответить | Правка | Наверх | Cообщить модератору

35. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Аноним (35), 25-Апр-25, 12:39

А когда ожидать местного блаженного? Он тут недавно мне рассказывал как это замечательно и быстро, не то что у мс.

Ответить | Правка | Наверх | Cообщить модератору

36. "Прототип руткита для Linux, использующий io_uring для обхода..." +/–

Сообщение от Аноним (36), 25-Апр-25, 13:30

как обычно мой дебиан в пролёте... на 4.19 ведре даже руткит не заработает...

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Прототип руткита для Linux, использующий io_uring для обхода..."	–1 +/–
Сообщение от Аноним (1), 24-Апр-25, 22:25
> В проведённом эксперименте активность руткита Curing оказалась не замечена инструментами мониторинга Falco и Tetragon, применяемыми для определение связанных с безопасностью аномалий в контейнерах Хостовая система не видит, что происходит в контейнере? Или эти "инструменты" в тех же ns работают?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от Аноним (2), 24-Апр-25, 22:26
	Конечно видит, ядро же общее для всех контейнеров, это вам не виртуализация.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Прототип руткита для Linux, использующий io_uring для обхода..."	+3 +/–
	Сообщение от Аноним (1), 24-Апр-25, 22:39
	> это вам не виртуализация. https://ru.wikipedia.org/wiki/%D0%9A%D0%... Вообще контейнеризация относится к виртуализации (что как по мне странно). > Конечно видит, ядро же общее для всех контейнеров, Вот я тоже не понял, как из непривилегированного контейнера можно что-то там скрыть, без LPE на уровне ядра. А то что васяноподелки... То есть "инструменты мониторинга" что-то там не видят, то вопрос к их создателям.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Прототип руткита для Linux, использующий io_uring для обхода..."	+4 +/–
	Сообщение от АнонимЯ (?), 25-Апр-25, 02:07
	> Вообще контейнеризация относится к виртуализации (что как по мне странно). Просто не читайте до обеда википедию.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от Аноним (18), 25-Апр-25, 07:58
	Ничего странного, как всегда надо начинать с определений - они могут сильно отличаться у разных групп. Например, виртуализация может быть разного уровня - железа, ядра, ос, прикладного. Как пример последнего - пачка разнородных питоновских окружений, каждый со своим интерпретатором и набором библиотек/их версий.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

4. "Прототип руткита для Linux, использующий io_uring для обхода..."	+4 +/–
Сообщение от ИмяХ (ok), 24-Апр-25, 22:50
Говорили же вам анонимы с опеннета, что io_uring это не просто бэкдор, а целая парадная дверь для вредноносов. А вы не послушали. Вот теперь расхлёбывайте.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от Аноним (5), 24-Апр-25, 23:09
	Кому это нам? Линусу и Ко? Так им пофиг на мнение каких-то там анонимов с опеннета. Денежки получили, теперь ещё заработают на закрытии этой дыры.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Прототип руткита для Linux, использующий io_uring для обхода..."	+5 +/–
	Сообщение от Аноним (6), 24-Апр-25, 23:29
	И набегут новые "мейнтейнеры", чтобы предложить io_uring переписывать на Rust.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от нах. (?), 24-Апр-25, 23:32
	мне не говорили. Я думал что это улучшайкерство само по себе вредонос (неотключаемый бай дизайн, как всегда), а оно эвон как еще могет!
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	24. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от n00by (ok), 25-Апр-25, 10:14
	Это не про io_uring, а про несостоятельность eBPF-фильтрации вообще как методики обнаружения руткитов. Что давно было показано в другой ОС: если "антируткит" где-то наставил хуков, значит надо идти другим путём.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	37. Скрыто модератором	+/–
	Сообщение от vitalif (ok), 25-Апр-25, 13:44
	io_uring офигенная вещь, а то что какие-то перехватывалки в неё не научились - это проблема не уринга, а перехватывалок как бы данные там все в момент io_uring_enter очевидно доступны - информация о системных вызовах лежит в памяти в кольцевом буфере. анализируй не хочу
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

7. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
Сообщение от нах. (?), 24-Апр-25, 23:31
Ураааа! Наконец-то хоть какая-то польза простым смертым от этой иоурины, попереломавшей все файловые системы!
Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Прототип руткита для Linux, использующий io_uring для обхода..."	+8 +/–
Сообщение от Аноним (6), 24-Апр-25, 23:32
>механизм KRSI (Kernel Runtime Security Instrumentation), появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам Предлагается детектить активность одного руткита с помощью другого.
Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Прототип руткита для Linux, использующий io_uring для обхода..."	–1 +/–
	Сообщение от Аноним (20), 25-Апр-25, 08:44
	Ради вашей безопасности, из за того что у них там в разработке (т.е он не работает на нормальной системе) руткит, предлагается : разрешить BPF, и прикреплять BPF-программы к любым LSM-хукам. Ну прям классический развод про дыры ради безопасности.
	Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
Сообщение от мяв (?), 25-Апр-25, 01:05
так.. все равно происходит чтение, все равно происходит подключение к сети. я дальше половины новости не читала, но даже если это модуль ядра - будет чтение файла и отправка со стороны ядра. MACи это явно увидят, lsm не дураками делался. ровно, как и подсистема аудита.
Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от n00by (ok), 25-Апр-25, 10:22
	А надо было читать дальше: "вместо перехвата системных вызовов рекомендовано использовать механизм KRSI ... даёт возможность отслеживать ... независимо от того, инициированы данные операции через специфичные системные вызовы или через io_uring." Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Anonimous (?), 25-Апр-25, 12:33
	> Но лучше читать ещё дальше, в оригинале -- где авторы советуют ознакомиться с развитием техник в другой ОС. Скажи, в какой, если ты читал дальше
	Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Прототип руткита для Linux, использующий io_uring для обхода..."	+4 +/–
Сообщение от Аноним (14), 25-Апр-25, 02:09
Извините, но kernel-mode руткит - это программа, хукающая ядро для скрытия себя и, опционально, защищаемой нагрузки. User-mode rootkit это программа, подменяющая библиотеки и утилиты на подкрученные. Toolchain-level rootkit - это подкрученный toolchain. Программа же, просто использующая непокрытую функциональность, непокрытую по той простой причине, что эта функциональность намеренно ускорена для HPC, для тех, кому нужна максимальная скорость во что бы то ни стало, кто специально ради этого готов пожертвовать безопасностью (именно поэтому io_uring требует спец. привилегий) - это не руткит.
Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
	Сообщение от n00by (ok), 25-Апр-25, 10:24
	Удивительно, что kernel-mode руткит может вообще ничего не хукать, но вышеотписавшийся эксперт ни за что его не найдёт. Например, эпический случай, когда драйвер первых версий Rustock просто лежал в ADS.
	Ответить \| Правка \| Наверх \| Cообщить модератору

15. "Прототип руткита для Linux, использующий io_uring для обхода..."	+1 +/–
Сообщение от Аноним (15), 25-Апр-25, 02:26
Надо взять ядро 2.6, залатать все дыры и уязвимости в нем, и не трогать. Писать только модули к нему, а код ядра заморозить. Кстати, вопрос, где смотреть сколько уязвимостей еще осталось в старых ядрах? На всяких cve базах не очень понятно, толи есть они, толи все залатали уже.
Ответить \| Правка \| Наверх \| Cообщить модератору


	22. Скрыто модератором	+/–
	Сообщение от 1 (??), 25-Апр-25, 09:18
	Чё 2.6 то ? 2.4 - самое православное ядро !
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от n00by (ok), 25-Апр-25, 10:35
	Это не про дыры, а про отсутствие защитного механизма в ядре. Так что надо внедрить подписи, UEFI, ну и засунуть PatсhGuard в Microsoft Pluton. ;)
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	31. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Герострат (?), 25-Апр-25, 11:41
	Ок, делай
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору


	32. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Аноним (32), 25-Апр-25, 12:22
	Но контейнеризация, всё-таки, нужна. Поэтому всё, что касается пространств имён придётся портирровать.
	Ответить \| Правка \| К родителю #15 \| Наверх \| Cообщить модератору

16. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от Аноним (16), 25-Апр-25, 02:51
Следующая новость -- опасность руткитов из-за >> появившийся в ядре Linux 5.7 и позволяющий прикреплять BPF-программы к любым LSM-хукам. BPF руткиты облепили LSM своими липкими хуками!
Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Жироватт (ok), 25-Апр-25, 08:03
	Мой байт-код ОПТИМИЗИРОВАННЕЕ, чем твой байт-код. И хватит тут постоянно поминать своё липкий хук - мы всё-таки в приличном месте, тут дамы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от n00by (ok), 25-Апр-25, 10:31
	В каждой шутке есть доля шутки. Примерно так оно и развивалось в другой ОС. С чем и советуют ознакомиться авторы прототипа.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору

21. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
Сообщение от Шарп (ok), 25-Апр-25, 09:12
Не могут 10 лет родить асинхронный API.
Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от Аноним (32), 25-Апр-25, 12:31
	Чем epoll не асинхронный? Давно рождён.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Прототип руткита для Linux, использующий io_uring для обхода..."	+/–
	Сообщение от vitalif (ok), 25-Апр-25, 13:45
	Так как раз родили. Но теперь секукакурщики завыли что распарсить его не могут. Привыкли к синхронному г**ну
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору