資安廠商Armo研究人員公布一款針對Linux的Rootkit,可利用提高效能的Linux專屬機制io_uring,來繞過包括Microsoft Defender在內的端點安全工具偵測。
io_uring是Linux 5.1引進的高效非同步I/O核心API,透過支援非同步、批量提交I/O,解決傳統處理方法的同步阻塞,或是大量系統呼叫(syscall)的問題。它使用可兩個共享的ring buffer完成用戶空間(user space)和核心空間(kernel space)的溝通,藉由共享buffer來大幅減低因複製buffer產生的系統overhead,加速I/O執行。
但Armo研究人員卻發現io_uring對某些安全工具反而有害,因為它的機制可讓應用程式執行多種行為,而不需使用系統呼叫。因此仰賴系統呼叫偵測的安全產品,就無法偵測到使用io_uring的rootkit。
研究人員因而設計了一個概念驗證rootkit,名為Curing,並公開給安全社群及企業。
廠商表示,兩年來已經有多項研究示範如何利用io_uring繞過偵測機制,但大部份資安廠商尚未解決這個問題。根據研究人員的測試,Microsoft Defender、雲端Runtime監控產品Falco都因基於系統呼叫而無法偵測到Curing,Kubernetes原生監測工具Tetragon則需定義好政策才會發現到該rootkit。
基於io_uring的安全疑慮,Google已經在ChromeOS、Google伺服器及Android關閉io_uring的支援,Docker也預設不支援io_uring。Linux 6.6也提供全系統關閉的方法。
熱門新聞
2025-05-19
2025-05-19
2025-05-19
2025-05-20
2025-05-20
2025-05-19