Los investigadores de ARMO han publicado Curing, un rootkit de prueba de concepto que opera exclusivamente a través de la interfaz io_uring del kernel.
Al no invocar llamadas al sistema tradicionales, el malware pasa inadvertido para la mayoría de las EDR y herramientas de monitorización que basan sus detecciones en syscalls, incluidas Falco, Tetragon (con configuración por defecto) y varios productos comerciales. El hallazgo pone de relieve un importante punto ciego en la defensa de entornos Linux, justo cuando el mecanismo asíncrono de E/S sigue ganando popularidad.
La entrada Curing: un rootkit basado en io_uring deja “ciegas” a muchas soluciones de seguridad en Linux se publicó primero en Una Al Día.
☞ El artículo completo original de Adrián Vidal lo puedes ver aquí
No hay comentarios.:
Publicar un comentario