بدافزار RingReaper، جدیدترین تهدید سرورهای لینوکسی با دور زدن EDR

یک بدافزار جدید و پیچیده که محیط‌های لینوکس را هدف قرار داده، شناسایی شده است. این بدافزار با بهره‌گیری از قابلیت‌های پیشرفته برای پنهان‌کاری، سیستم‌های سنتی تشخیص و پاسخ در نقطه پایانی (EDR) را به چالش کشیده است. در ادامه به معرفی بدافزار RingReaper، جدیدترین تهدید سرورهای لینوکسی، پرداخته‌ایم؛ با فالنیک همراه باشید.

بدافزار RingReaper چیست و چگونه کار می‌کند؟

RingReaper که به‌عنوان یک عامل پس‌ازبهره‌برداری شناخته شده است، از رابط مدرن «ورودی/خروجی غیرهمزمان (Asynchronous I/O)» در کرنل لینوکس استفاده می‌کند تا فعالیت‌های مخفیانه خود را انجام دهد؛ بدون اینکه کمترین رد و نشانی برای ابزارهای امنیتی باقی بگذارد!

نوآوری اصلی این بدافزار، سوءاستفاده از io_uring است؛ قابلیتی نسبتاً جدید در کرنل لینوکس که امکان اجرای عملیات I/O غیرهمزمان با کارایی بالا را فراهم می‌کند.

RingReaper با استفاده از این رابط به‌جای فراخوانی‌های سیستمی معمول، به‌طور مؤثری از مکانیزم‌های تشخیص مبتنی بر hook استفاده می‌کند. بسیاری از راهکارهای EDR برای شناسایی و مهار تهدیدها بر این مکانیزم‌ها تکیه دارند و این بدافزار توانسته به‌راحتی از آنها عبور کند!

تحلیل‌گران پلتفرم PICUS Security، بدافزار RingReaper را تهدیدی بسیار نگران‌کننده توصیف کرده‌اند؛ چرا که این بدافزار با رویکردی سیستماتیک به شناسایی، جمع‌آوری داده‌ها و انجام عملیات پیشرفته می‌پردازد.

تا به اینجا این بدافزار توانایی حملات متنوعی را از خود نشان داده است؛ از کشف فرآیندها، بررسی شبکه و شناسایی کاربران گرفته تا ارتقای سطح دسترسی! RingReaper در تمام این مراحل از تکنیک‌های نوین برای مخفی‌کاری بهره می‌برد و ابزارهای امنیتی را به چالشی جدی کشیده است! تأثیر RingReaper فراتر از تهدیدات بدافزاری متداول است؛ چرا که موفقیت آن بیانگر تغییر بنیادین در شیوه دور زدن زیرساخت‌های امنیتی مدرن توسط مهاجمام است.

راهکارهای نظارتی سنتی که وابسته به رهگیری فراخوان‌های سیستمی هستند، در برابر فعالیت‌هایی که از طریق io_uring انجام می‌شوند، عملاً کور خواهند بود و این موضوع شکاف‌های بزرگی در وضعیت امنیتی سازمان‌ها ایجاد می‌کند.

دور زدن پیشرفته ابزارهای امنیتی از طریق پیاده‌سازی io_uring

پیشرفته‌ترین ویژگی RingReaper، استفاده آن از دستورات io_uring به‌جای فراخوان‌های سیستمی استانداردی است که ابزارهای امنیتی معمولاً آنها را تحت نظر دارند.

این بدافزار به‌جای اجرای توابع معمول مانند read، write، recv، send یا connect، عملیات‌های غیرهمزمان را از طریق توابع *_io_uring_prep به‌کار می‌گیرد.

این روش به‌ویژه در مرحله شناسایی بسیار مؤثر است. در فرآیند کشف پردازش‌ها، RingReaper بارهای کاری مانند WORKDIR”/cmdMe$” و WORKDIR”/executePs$” را اجرا می‌کند تا پردازش‌های در حال اجرا و اطلاعات سیستمی را فهرست کند.

این عملیات‌ها، فایل‌سیستم proc/ را به‌صورت غیرهمزمان پرس‌وجو می‌کنند و شناسه، نام و مالک پردازش‌ها را استخراج کی‌کنند، بدون اینکه هشدارهای مربوط به نظارت پردازش‌ها فعال شوند.

قابلیت‌های کشف شبکه این بدافزار نیز سطح بالایی از پیچیدگی را نشان می‌دهند. RingReaper با اجرای بار کاری WORKDIR”/netstatConnections$” و استفاده از io_uring، جداول شبکه کرنل و اطلاعات سوکت‌ها را مورد پرس‌وجو قرار می‌دهد.

این روش در عمل، عملکرد ابزار netstat را شبیه‌سازی می‌کند، اما بدون استفاده از فراخوان‌های سیستمی همزمان! بنابراین این بدافزار می‌تواند اطلاعات کامل اتصالات شبکه را با پایین‌ترین احتمال شناسایی، جمع‌آوری کند.

شاید نگران‌کننده‌ترین بخش ماجرا، مکانیزم خودتخریبی بدافزار RingReaper است که با بار کاری WORKDIR”/selfDestruct$” اجرا می‌شود. این مکانیزم از io_uring برای حذف فایل‌ها به‌صورت غیرهمزمان استفاده می‌کند.

در نتیجه بدافزار می‌تواند بدون اینکه تحت نظارت‌های استاندارد بر روی عملیات فایل‌ها قرار گیرد، فایل‌های اجرایی خود را حذف کند. این امر باعث می‌شود ردپاهای RingReaper به‌طور کامل از سرور پاک شود و تحلیل‌های جرم‌شناسی دیجیتال به‌شدت سخت شوند!

امنیتی فوق‌العاده با خرید لایسنس کسپرسکی

نرم‌افزار امنیتی کسپراسکی شبکه شما را به قلعه‌ای غیرقابل نفوذ تبدیل می‌کند. فالنیک به عنوان نماینده و شریک تجاری کسپراسکی در ایران، محصولات این شرکت را با لایسنس اورجینال به شما ارائه می‌دهد. برای خرید Kaspersky یا دریافت مشاوره تخصصی کلیک کنید.

خرید لایسنس کسپرسکیمشاوره رایگان