کمیته رکن چهارم – پژوهشگران امنیتی از توسعه روتکیتی با نام Curing خبر دادهاند که با بهرهگیری از فناوری io_uring در لینوکس، میتواند بدون ردپا و قابل شناسایی بودن، در سیستمهای آلوده فعالیت کند. این روتکیت به گونهای طراحی شده که ابزارهای امنیتی رایج توانایی شناسایی آن را ندارند.
به گزارش کمیته رکن چهارم، روتکیت نوعی بدافزار پیشرفته است که با هدف پنهانماندن و ایجاد دسترسی دائمی برای مهاجم در سیستم طراحی میشود، بدون آنکه کاربر یا ابزارهای امنیتی متوجه حضور آن شوند. io_uring یک رابط جدید برای انجام عملیات ورودی/خروجی در لینوکس است که امکان اجرای دستورات بدون استفاده مستقیم از فراخوانهای سیستمی را فراهم میکند. این در حالی است که بسیاری از ابزارهای امنیتی مانند Falco و Tetragon، برای شناسایی فعالیتهای مشکوک، به نظارت بر همین فراخوانها تکیه دارند.
روتکیت Curing از این قابلیت استفاده میکند تا در پسزمینه با سرور مهاجم ارتباط برقرار کرده و دستورات را اجرا کند، بدون آنکه ابزارهای امنیتی متوجه فعالیت آن شوند.
پیش از این نیز شرکتهایی مانند گوگل در سال ۲۰۲۳ اعلام کرده بودند که به دلیل نگرانیهای امنیتی، استفاده از io_uring را در محصولات خود محدود کردهاند.
کارشناسان میگویند این مورد نشان میدهد که اتکای بیش از حد به فراخوانهای سیستمی برای پایش امنیتی، میتواند باعث نادیده ماندن تهدیدات پنهان شود. برای مقابله با این چالشها، نیاز به راهکارهایی عمیقتر و ساختارمحورتر در سطح سیستمعامل احساس میشود.
