রিংরিপার লিনাক্স সিস্টেমগুলিকে লক্ষ্য করে তৈরি একটি নতুন ম্যালওয়্যার পরিবার যা প্রচলিত এন্ডপয়েন্ট প্রতিরক্ষা এড়াতে সক্ষমতার জন্য আলাদা। অ্যাসিঙ্ক্রোনাস I/O কৌশল ব্যবহার করে, এই পোস্ট-ইন্ট্রুশন এজেন্ট মনিটরিং সিস্টেমের জন্য ন্যূনতম পদক্ষেপের সাথে গোপন কাজগুলি সম্পাদন করে।
এর গোপনীয়তার চাবিকাঠি হল io_uring এর ব্যবহার, একটি আধুনিক কার্নেল ইন্টারফেস যা আপনাকে প্রচলিত সিস্টেম কলগুলিকে উচ্চ-কার্যক্ষমতাসম্পন্ন অ্যাসিঙ্ক্রোনাস অপারেশন দিয়ে প্রতিস্থাপন করতে দেয়, হুক-ভিত্তিক EDR সমাধান এবং সিস্টেমকল ফিল্টারিং অন্ধকারে রেখে।
রিংরিপার কী এবং কেন এটি গুরুত্বপূর্ণ
পিকাস সিকিউরিটি বিশ্লেষকদের দ্বারা শনাক্ত করা হয়েছে শোষণ-পরবর্তী এজেন্ট হিসেবে, রিংরিপার প্রাথমিক অনুপ্রবেশের উপর মনোযোগ দেয় না, বরং পরবর্তী নীরব কাজের উপর মনোযোগ দেয়: স্বীকৃতি, তথ্য সংগ্রহ এবং অধ্যবসায়, সবই একটি পদ্ধতিগত পদ্ধতির সাথে যা সনাক্তকরণকে জটিল করে তোলে।
এর প্রভাব ম্যালওয়্যারের একটি বিচ্ছিন্ন ঘটনাকে ছাড়িয়ে গেছে: এর সাফল্য প্রমাণ করে যে সিস্টেমকল আটকানোর উপর নির্ভরশীল কৌশলগুলির মধ্যে পদ্ধতিগত ব্যবধান, যেহেতু io_uring এর মাধ্যমে পরিচালিত কার্যকলাপগুলি মূলত ঐতিহ্যবাহী টেলিমেট্রির আওতার বাইরে।
io_uring ব্যবহার করে RingReaper কীভাবে সনাক্তকরণ এড়ায়
এর মতো সাধারণ ফাংশনগুলি ব্যবহার করার পরিবর্তে read, write, recv, send o connect, রিংরিপার অবলম্বন করে io_uring আদিম (উদাহরণস্বরূপ, io_uring_prep_*()), সিস্টেমকলের শব্দ কমানো এবং EDR হুক এড়ানো।
মৃত্যুদণ্ডের পথের এই প্রতিস্থাপন সিঙ্ক্রোনাস প্যাটার্ন আশা করে এমন সরঞ্জামগুলির জন্য একটি অন্ধ অঞ্চল তৈরি করে এবং কম ফরেনসিক চিহ্ন রেখে যায়, বিশেষ করে যখন অপারেশনগুলি কার্নেল স্ট্রাকচার বা ভার্চুয়াল ফাইল সিস্টেমকে প্রভাবিত করে /proc.
শোষণ-পরবর্তী পর্যায়ে পরিলক্ষিত ক্ষমতা
প্রক্রিয়া পুনর্বিবেচনার সময় (MITRE ATT&CK) T1057), রিংরিপার অ্যাসিঙ্ক্রোনাস কোয়েরির মাধ্যমে প্রক্রিয়া এবং মালিকানার বিবরণ তালিকাভুক্ত করে /proc, যেমন ইউটিলিটি অনুকরণ করা হচ্ছে ps সাধারণ সতর্কতা ট্রিগার না করেই।
সক্রিয় ব্যবহারকারী এবং সেশন ম্যাপিংয়ের জন্য (ATT&CK) T1033), বিশ্লেষণ করে /dev/pts এবং থেকে টিকিট /proc পার্শ্বীয় নড়াচড়া বা আরোহণের জন্য প্রান্তিক কার্যকলাপ এবং সম্ভাব্য পৃষ্ঠতল সনাক্ত করার জন্য।
সংযোগ তালিকাতে (ATT&CK) T1049), কার্নেল নেটওয়ার্ক টেবিল এবং সকেটগুলিকে অ্যাসিঙ্ক্রোনাসভাবে জিজ্ঞাসাবাদ করে, এর ফাংশনগুলি প্রতিলিপি করে netstat/ss সিঙ্ক্রোনাস কলের আশ্রয় না নিয়ে, যা তাদের দৃশ্যমানতা হ্রাস করে।
তথ্য সংগ্রহের জন্য (ATT&CK) T1005), ফাইল থেকে সংবেদনশীল তথ্য বের করতে পারে যেমন /etc/passwd দৃশ্যমান সরঞ্জাম ব্যবহার না করেই (cat, getent), এবং সুযোগ-সুবিধা বৃদ্ধি করা (ATT&CK) T1068) SUID বাইনারি এবং শোষণযোগ্য দুর্বলতাগুলির অনুসন্ধান স্বয়ংক্রিয় করে।
পেলোড এবং পরিচালনার ধরণ
অপারেটর একটি কার্যকরী ডিরেক্টরি সেট করে ($WORKDIR) যেখান থেকে তুমি পালাও বিশেষায়িত মডিউল যা বিচ্ছিন্ন কাজগুলিকে ধারণ করে, সমস্ত ক্রিয়াকলাপকে io_uring এর মাধ্যমে চ্যানেল করে যাতে নজরে থাকে।
"$WORKDIR"/cmdMey"$WORKDIR"/executePs: গণনা কোয়েরির মাধ্যমে প্রক্রিয়া এবং সিস্টেম মেটাডেটার/proc."$WORKDIR"/netstatConnections: সংযোগ এবং সকেটের তালিকা কার্নেল নেটওয়ার্ক টেবিল থেকে, গোপন বিকল্প anetstat."$WORKDIR"/loggedUsers: এর পারস্পরিক সম্পর্ক পিটিএস সেশন y সক্রিয় ব্যবহারকারীগণ মাধ্যমে/dev/ptsy/proc."$WORKDIR"/fileRead: অ্যাসিনক্রোনাস রিডিং সংবেদনশীল ফাইল যেমন/etc/passwd."$WORKDIR"/privescChecker: SUID বাইনারি চেক এবং স্কেলিং শর্তাবলী।"$WORKDIR"/selfDestruct: অ্যাসিঙ্ক্রোনাস ডিলিটেশন তাদের নিজস্ব শিল্পকর্মের মাধ্যমে এটি কঠিন করে তোলার জন্য ফরেনসিক বিশ্লেষণ.
বিশেষভাবে উল্লেখ করা উচিত যে এর প্রক্রিয়াটি আত্ম-সংরক্ষণ: অ্যাসিঙ্ক্রোনাস বাইনারি এবং ট্রেস ইরেজার প্রচলিত ফাইল অপারেশন মনিটর এড়িয়ে চলে এবং ফুটপ্রিন্ট কমাতে ফাইলের পরিষ্কার-পরিচ্ছন্নতা যাচাই করে।
প্রতিরক্ষার জন্য প্রভাব
নির্ভরশীল স্থাপত্যগুলি সিসকল ইন্টারসেপশন এবং স্ট্যান্ডার্ড টুল প্যাটার্নগুলি উল্লেখযোগ্য ফাঁকগুলির সম্মুখীন হয়: যদি কার্যকলাপ io_uring এর মধ্য দিয়ে প্রবাহিত হয়, তাহলে প্রত্যাশিত সংকেতের বেশিরভাগই EDR টেলিমেট্রিতে পৌঁছায় না।
এই পদ্ধতিটি একটি চিহ্নিত করে আনতি বিন্দু নিয়ন্ত্রণ এড়াতে বৈধ কার্নেল ইন্টারফেস ব্যবহারে, এবং সার্ভার পরিবেশে সম্পদশালী ব্যক্তিদের দ্বারা আরও গ্রহণের প্রত্যাশা করে লিনাক্স এবং ক্লাউডে আপলোড করে।
আপস এবং সনাক্তকরণ কৌশলের সূচক
নিরাপত্তা দলগুলিকে অগ্রাধিকার দেওয়া উচিত io_uring অডিট: ডাকে যেমন io_uring_setup অথবা এর ধরণ io_uring_prep_*() অ-মানক বাইনারিগুলিতে, বিশেষ করে যদি তারা ব্যবহারকারী ডিরেক্টরি বা অস্থায়ী পাথে থাকে।
এটা সম্পর্কে সতর্ক করা মূল্যবান অস্বাভাবিক রিডিং de /proc, /dev/pts o /etc/passwd এমন প্রক্রিয়া দ্বারা সম্পাদিত যা সাধারণ ইউটিলিটিগুলিকে আহ্বান করে না (ps, who, netstat) কিন্তু সমতুল্য ফলাফল প্রদর্শন করে।
অন্যান্য সূত্রের মধ্যে রয়েছে নেটওয়ার্ক গণনা কম সিস্টেমকল শব্দ, স্ব-মুছে ফেলা এক্সিকিউটেবল এবং একই থেকে মডিউলগুলির পুনরাবৃত্তি ক্রম সহ $WORKDIR, ছোট সময়ের উইন্ডোতে সম্পর্কযুক্ত।
প্রশমন ব্যবস্থা হিসেবে, এটি পরামর্শ দেওয়া হচ্ছে পর্যবেক্ষণ জোরদার করা কার্নেল রানটাইমে, প্রক্রিয়া-স্তরের আচরণের সাথে সম্পর্ক স্থাপন করুন এবং যেখানে সম্ভব, যেখানে প্রয়োজনীয় নয় এমন সিস্টেমে io_uring সীমাবদ্ধ বা অক্ষম করুন।
রিংরিপারের আবির্ভাব নিশ্চিত করে যে এর অপব্যবহার io_uring তত্ত্ব থেকে অনুশীলনে স্থানান্তরিত হয়েছে: একটি শোষণ-পরবর্তী এজেন্ট যা অ্যাসিঙ্ক্রোনাস অপারেশনের মাধ্যমে সনাক্তকরণ, সংগ্রহ এবং লুকানোর ক্ষমতা রাখে, যার জন্য EDR দৃশ্যমানতা পর্যালোচনা করা, কার্নেল পর্যবেক্ষণযোগ্যতা প্রসারিত করা এবং লিনাক্সে নিয়ন্ত্রণগুলি সামঞ্জস্য করা প্রয়োজন যাতে এটি বর্তমানে যে শূন্যস্থানগুলি ব্যবহার করে তা পূরণ করতে পারে।
