Một chiến dịch malware mới mang tên mã độc RingReaper đã xuất hiện, nhắm mục tiêu vào các máy chủ Linux với khả năng hậu khai thác tiên tiến. Điểm nổi bật của RingReaper là việc khai thác giao diện I/O bất đồng bộ io_uring của kernel để vượt qua các hệ thống Endpoint Detection and Response (EDR) hiện có.

Tác nhân tinh vi này giảm thiểu sự phụ thuộc vào các lệnh gọi hệ thống truyền thống như read, write, recv, send, hoặc connect. Thay vào đó, nó sử dụng các nguyên thủy của io_uring, ví dụ như io_uring_prep_*, cho các hoạt động lén lút. Bằng cách thực thi các tác vụ bất đồng bộ, mã độc RingReaper giảm thiểu khả năng hiển thị telemetry và né tránh các cơ chế phát hiện dựa trên hook thường được các công cụ bảo mật sử dụng.

Mã độc RingReaper: Khai thác io_uring để né tránh EDR

io_uring và cơ chế hoạt động lén lút

Đổi mới cốt lõi của mã độc RingReaper nằm ở việc lạm dụng io_uring để thực hiện các tác vụ khám phá và liệt kê mà không kích hoạt các cảnh báo giám sát tiêu chuẩn. Giao diện io_uring cung cấp một cách hiệu quả để thực hiện các hoạt động I/O bất đồng bộ, cho phép các ứng dụng gửi nhiều yêu cầu I/O đến kernel và nhận thông báo khi chúng hoàn thành, mà không cần phải gọi lại vào không gian người dùng sau mỗi thao tác. Điều này đặc biệt có lợi cho hiệu suất, nhưng cũng tạo ra một lỗ hổng đáng kể trong việc giám sát bảo mật truyền thống.

Các giải pháp EDR thường dựa vào việc theo dõi và phân tích các lệnh gọi hệ thống (syscalls) để phát hiện hành vi độc hại. Tuy nhiên, khi mã độc RingReaper sử dụng io_uring, các thao tác này được xử lý trực tiếp trong kernel mà không tạo ra các syscall riêng lẻ mà EDR dễ dàng bắt giữ. Điều này khiến cho việc theo dõi các hoạt động của malware trở nên cực kỳ khó khăn, giúp nó duy trì tính ẩn danh và tránh bị phát hiện.

Kỹ thuật Hậu Khai thác của RingReaper trên Linux

Các nhà nghiên cứu an ninh mạng đã quan sát thấy mã độc RingReaper trong các chiến dịch tấn công đang hoạt động. Điều này nhấn mạnh tiềm năng của nó trong việc hỗ trợ thu thập dữ liệu bí mật, leo thang đặc quyền và che giấu dấu vết trên các môi trường Linux bị xâm nhập. Malware này sử dụng nhiều payload chuyên biệt, mỗi payload được thiết kế để thực hiện một chức năng cụ thể theo cách lén lút, dựa trên cơ chế io_uring.

Thu thập thông tin tiến trình (MITRE ATT&CK T1057)

Để khám phá tiến trình theo MITRE ATT&CK T1057 (Process Discovery), mã độc RingReaper triển khai các payload như “$WORKDIR”/cmdMe và “$WORKDIR”/executePs. Các payload này truy vấn không đồng bộ hệ thống tệp /proc để lấy ID tiến trình, tên, chủ sở hữu và mối quan hệ phân cấp. Việc này bắt chước các công cụ như ps nhưng với chi phí tài nguyên thấp hơn nhiều và quan trọng hơn là không tạo ra các dấu hiệu dễ nhận biết cho EDR.

Liệt kê phiên PTS và người dùng (MITRE ATT&CK T1033)

Tương tự, để liệt kê các phiên PTS (Pseudo-Terminal Slave) đang hoạt động và người dùng đã đăng nhập (MITRE ATT&CK T1033 – System Owner/User Discovery), payload “$WORKDIR”/loggedUsers sẽ quét các mục /dev/pts và /proc để ánh xạ hoạt động của người dùng. Hành động này giúp xác định cơ hội di chuyển ngang hoặc leo thang đặc quyền, đồng thời tránh các lệnh đồng bộ như who hoặc w, vốn rất dễ bị phát hiện.

Phát hiện kết nối mạng (MITRE ATT&CK T1049)

Trong việc khám phá kết nối mạng (MITRE ATT&CK T1049 – System Network Connections Discovery), payload “$WORKDIR”/netstatConnections tận dụng io_uring để truy cập trực tiếp vào các bảng mạng kernel. Nó thu thập chi tiết về địa chỉ IP, cổng, trạng thái và các tiến trình liên quan một cách hiệu quả, hoạt động như một giải pháp thay thế lén lút cho netstat hoặc ss. Cách tiếp cận bất đồng bộ này không chỉ giảm thiểu “tiếng ồn” từ lệnh gọi hệ thống mà còn làm phức tạp phân tích pháp y, vì nó để lại ít dấu vết trong nhật ký EDR.

Thu thập dữ liệu (MITRE ATT&CK T1005)

Để thu thập dữ liệu (MITRE ATT&CK T1005 – Data from Local System), mã độc RingReaper sử dụng payload “$WORKDIR”/fileRead để trích xuất thông tin người dùng từ /etc/passwd một cách bất đồng bộ. Các thông tin bao gồm tên người dùng, UID, GID và shell, mà không cần gọi các lệnh như cat hoặc getent. Điều này giúp mã độc truy cập thông tin nhạy cảm mà không bị giám sát bởi các công cụ bảo mật truyền thống.

Leo thang đặc quyền (MITRE ATT&CK T1068)

Các nỗ lực leo thang đặc quyền (MITRE ATT&CK T1068 – Exploitation for Privilege Escalation) liên quan đến payload “$WORKDIR”/privescChecker. Payload này thăm dò các file nhị phân SUID có thể bị lạm dụng và các lỗ hổng kernel, tự động kiểm tra để nâng cao quyền truy cập một cách hiệu quả. Điều này cho phép mã độc RingReaper có được quyền root hoặc các đặc quyền cao hơn trên hệ thống bị xâm nhập.

Né tránh phòng thủ và xóa dấu vết (MITRE ATT&CK T1564)

Việc né tránh phòng thủ (MITRE ATT&CK T1564 – Impair Defenses) đạt được thông qua payload “$WORKDIR”/selfDestruct, payload này sử dụng io_uring để tự xóa, sau đó là các lệnh xác minh như ls -l để xác nhận việc dọn dẹp. Điều này giúp giảm thiểu dấu vết pháp y, khiến cho việc điều tra và phản ứng sự cố trở nên khó khăn hơn. Sự tinh vi của mã độc RingReaper là một ví dụ điển hình về các mối đe dọa mạng hiện đại.

Chỉ số thỏa hiệp (IOCs) và Dấu hiệu Hành vi

Mặc dù mã độc RingReaper được thiết kế để hoạt động ẩn mình, vẫn có các chỉ số thỏa hiệp và dấu hiệu hành vi có thể giúp phát hiện xâm nhập. Việc nắm bắt các chỉ số này là tối quan trọng để bảo vệ hệ thống.

Các Payload và File liên quan

• “$WORKDIR”/cmdMe: Dùng cho khám phá tiến trình.
• “$WORKDIR”/executePs: Dùng cho khám phá tiến trình.
• “$WORKDIR”/loggedUsers: Dùng cho liệt kê người dùng và phiên.
• “$WORKDIR”/netstatConnections: Dùng cho khám phá kết nối mạng.
• “$WORKDIR”/fileRead: Dùng cho thu thập dữ liệu (ví dụ: từ /etc/passwd).
• “$WORKDIR”/privescChecker: Dùng cho leo thang đặc quyền.
• “$WORKDIR”/selfDestruct: Dùng cho tự xóa và né tránh phòng thủ.

Chỉ báo Hành vi Bất thường

Các chỉ báo hành vi bao gồm các mẫu nguyên thủy io_uring thay thế cho các syscall thông thường, sự vắng mặt của các lệnh dự kiến mặc dù có hoạt động liệt kê, và các hoạt động bất đồng bộ bất thường trên các cấu trúc kernel. Các nhóm an ninh cần tập trung vào việc gắn cờ các hoạt động đọc bất thường dựa trên io_uring từ /proc, /dev/pts, hoặc các tệp nhạy cảm như /etc/passwd, đặc biệt từ các file nhị phân không tiêu chuẩn trong thư mục người dùng.

Giám sát việc liệt kê mạng có chi phí thấp mà không gọi các công cụ tiêu chuẩn, các tệp thực thi tự xóa, hoặc chuỗi các payload chuyên biệt từ cùng một thư mục $WORKDIR có thể giúp phát hiện xâm nhập. Để biết thêm phân tích kỹ thuật chi tiết về các chiến thuật né tránh EDR của RingReaper, bạn có thể tham khảo bài viết từ Picus Security: RingReaper Linux Malware EDR Evasion Tactics and Technical Analysis.

Chiến lược Phát hiện và Giảm thiểu mối đe dọa

Những tác động của mã độc RingReaper là sâu sắc, bởi vì nó nhấn mạnh các lỗ hổng trong môi trường Linux nơi các giải pháp EDR tập trung vào các syscall thông thường, có khả năng bỏ qua các kênh I/O bất đồng bộ. Để củng cố an ninh mạng trước mối đe dọa này, các tổ chức cần áp dụng các chiến lược phòng thủ chủ động.

Tăng cường Giám sát io_uring

Các đội ngũ an ninh nên ưu tiên phát hiện bằng cách gắn cờ các hoạt động đọc bất thường dựa trên io_uring từ các thư mục nhạy cảm như /proc, /dev/pts, hoặc các tệp cấu hình quan trọng như /etc/passwd. Đặc biệt chú ý đến các yêu cầu xuất phát từ các tệp nhị phân không tiêu chuẩn trong thư mục người dùng. Việc tăng cường kiểm toán (auditing) đối với các hoạt động io_uring trong kernel là một bước thiết yếu để tăng cường khả năng hiển thị.

Phát hiện dựa trên Hành vi bất thường

Việc theo dõi các hành vi bất thường, đặc biệt là các mẫu sử dụng nguyên thủy io_uring để thay thế cho các lệnh gọi hệ thống truyền thống, là rất quan trọng cho việc phát hiện xâm nhập. Cần chú ý đến việc thiếu vắng các lệnh thông thường mặc dù có dấu hiệu hoạt động liệt kê hoặc khám phá hệ thống. Bất kỳ hoạt động I/O bất đồng bộ bất thường nào liên quan đến cấu trúc kernel cũng nên được xem xét kỹ lưỡng.

Biện pháp Phòng ngừa và Củng cố Hệ thống

Để giảm thiểu rủi ro, các tổ chức được khuyến nghị tăng cường kiểm toán io_uring trong kernel, tương quan các hành vi tiến trình đáng ngờ, và hạn chế quyền truy cập không đặc quyền vào các giao diện dễ bị tổn thương. Điều này bao gồm việc triển khai các chính sách kiểm soát truy cập chặt chẽ hơn và thường xuyên cập nhật hệ thống để vá các lỗ hổng đã biết. Củng cố tổng thể môi trường Linux sẽ giúp xây dựng một lớp phòng thủ mạnh mẽ hơn chống lại mã độc RingReaper và các mối đe dọa tương tự.