विस्तारित बर्कले पैकेट फ़िल्टर (eBPF) नेटवर्क से डेटा पैकेट को फ़िल्टर करता है और उन्हें ऑपरेटिंग सिस्टम कोर में एम्बेड करता है। प्रौद्योगिकी कंप्यूटर और नेटवर्क के प्रशासन और सुरक्षा में उपयोगकर्ताओं का समर्थन करती है। हालाँकि, प्रशासक और सुरक्षा दल शायद ही कभी पर्याप्त रूप से ध्यान में रखते हैं: पैकेट फ़िल्टर में कई भेद्यताएँ होती हैं जिनका साइबर हमले के लिए हैकर्स द्वारा आसानी से दुरुपयोग किया जा सकता है।
विस्तारित बर्कले पैकेट फ़िल्टर एक विशेष उद्देश्य वर्चुअल मशीन है जो सैंडबॉक्स वाले प्रोग्राम को एक विशेषाधिकार प्राप्त संदर्भ में चलाने की अनुमति देता है, जैसे कि ऑपरेटिंग सिस्टम कर्नेल। यह डेटा इकाइयों की डेटा लिंक परतों के लिए एक इंटरफ़ेस बनाता है। प्रौद्योगिकी प्रशासन और कंप्यूटर और नेटवर्क की सुरक्षा दोनों का समर्थन करती है।
विस्तारित बर्कले पैकेट फ़िल्टर - उपयोगी और खतरनाक
eBPF का उपयोग डेटा पैकेट को फ़िल्टर करने और पीसी और नेटवर्क के प्रदर्शन को अप्रासंगिक डेटा के कारण धीमा होने से रोकने के लिए किया जा सकता है। अनुपयोगी या दोषपूर्ण डेटा रिकॉर्ड को शुरू से ही अस्वीकार या मरम्मत किया जा सकता है। eBPF नए फ़ायरवॉल और घुसपैठ का पता लगाने वाले समाधानों के उपयोग, DDoS हमलों से बचाव और अनुप्रयोगों और ऑपरेटिंग सिस्टम कार्यों पर ऑडिट के कार्यान्वयन की भी अनुमति देता है। यह साइबर हमलों से बचाव में eBPF को एक मूल्यवान सहायता बनाता है। लेकिन डेटा फिल्टर में भी कई कमजोरियां हैं। और साइबर अपराधियों के लिए इसका लाभ उठाना आसान है - अक्सर सुरक्षा टीमों और सुरक्षा उपकरणों द्वारा किसी का ध्यान नहीं जाता है।
उदाहरण के लिए, हमलावर eBPF सत्यापनकर्ता को लक्षित कर सकते हैं जो कर्नेल संदर्भ में eBPF प्रोग्राम को मान्य करता है। यदि वे कर्नेल में भेद्यता की खोज करते हैं जो अनधिकृत कोड को चलाने की अनुमति देता है, तो वे एक विशेषाधिकार वृद्धि परिदृश्य आरंभ कर सकते हैं। इसके माध्यम से, वे व्यापक हमले शुरू करने के लिए पहुँच विशेषाधिकारों को बढ़ाते हैं; उदाहरण के लिए एक कंटेनर या सैंडबॉक्स एस्केप। हमलावर तब बंद एप्लिकेशन पैकेज से अंतर्निहित होस्ट तक जाता है, जहां से वह अन्य बंद एप्लिकेशन पैकेजों में प्रवेश कर सकता है या होस्ट पर ही कार्रवाई कर सकता है।
eBPF प्रोग्राम के माध्यम से रूटकिट अपलोड करें
हमलावरों के लिए एक और प्रारंभिक बिंदु पीड़ित के कंप्यूटर पर रूटकिट स्थापित करने के लिए eBPF प्रोग्राम का उपयोग करना और ऑपरेटिंग सिस्टम के मूल में खुद को स्थापित करना है। ईबीपीएफ रूटकिट्स के साथ सफलतापूर्वक संचालन के लिए - सुरक्षा टीमों और सुरक्षा समाधानों द्वारा पता नहीं लगाया गया - हमलावर को केवल सिस्टम कॉल के इनपुट पर एक ट्रेसपॉइंट हुकपॉइंट के माध्यम से हुक करने की आवश्यकता होती है ताकि सभी सिस्टम कॉल पैरामीटरों पर ध्यान न दिया जा सके।
स्थापित रूटकिट तब पहुंच और संचार में हेरफेर करने या नेटवर्क से संवेदनशील डेटा निकालने के लिए एक्सडीपी और टीसी इन्फ्रास्ट्रक्चर का उपयोग करने में सक्षम है। यह खुद को चुपके कर सकता है, विभिन्न हुक बिंदुओं के माध्यम से बना रह सकता है, प्रक्रिया के विशेषाधिकारों को बढ़ा सकता है और यहां तक कि पिछले दरवाजे भी बना सकता है। ऐसा 'eBPF मैलवेयर' एक वास्तविक समस्या है। क्योंकि अधिकांश पारंपरिक समापन बिंदु सुरक्षा समाधान उनका पता नहीं लगा सकते हैं। Cymulate की SecDev टीम के एक सदस्य Gal Yaniv ने हाल ही में एक ब्लॉग पोस्ट में दिखाया कि हैकर्स कितनी आसानी से Linux वातावरण में eBPF रूटकिट का उपयोग कर सकते हैं।
क्या आप के पास कुछ वक़्त है?
हमारे 2023 उपयोगकर्ता सर्वेक्षण के लिए कुछ मिनट निकालें और B2B-CYBER-SECURITY.de को बेहतर बनाने में मदद करें!आपको केवल 10 प्रश्नों का उत्तर देना है और आपके पास Kaspersky, ESET और Bitdefender से पुरस्कार जीतने का तत्काल अवसर है।
यहां आप सीधे सर्वे में जाते हैं
खतरनाक: eBPF अधिक से अधिक आईटी अवसंरचनाओं में पाया जा सकता है
और फिर भी: eBPF का आईटी इन्फ्रास्ट्रक्चर में एक पैकेट फिल्टर के रूप में अधिक से अधिक बार उपयोग किया जा रहा है - प्रशासकों, आईटी और आईटी सुरक्षा टीमों की ओर से प्रमुख सुरक्षा चिंताओं के बिना। क्योंकि eBPF रूटकिट पारंपरिक समापन बिंदु सुरक्षा समाधानों के लिए वस्तुतः अदृश्य हैं, वे अक्सर eBPF पैकेट फ़िल्टर को तैनात करने से उत्पन्न जोखिमों से अनजान होते हैं। हम आपको केवल यही सलाह दे सकते हैं कि अंत में यहां पहल करें और eBPF पर करीब से नज़र डालें। जैसा कि गल यानिव ने पहले ही बताया है, वास्तव में यह सुनिश्चित करने के लिए कि आईटी वातावरण इस प्रकार के हमले से सुरक्षित हैं, केवल एक ही काम करना है: अनुकरण करना, अनुकरण करना और फिर से अनुकरण करना।
Cymulate.com पर अधिक
Cymulate के बारे में
साइबर सुरक्षा जोखिम सत्यापन और जोखिम प्रबंधन के लिए Cymulate का समाधान सुरक्षा पेशेवरों को MITER ATT&CK® ढांचे के माध्यम से एंड-टू-एंड विज़ुअलाइज़ेशन के साथ ऑन-प्रिमाइसेस और क्लाउड में अपनी साइबर सुरक्षा मुद्रा को लगातार मान्य करने की क्षमता प्रदान करता है, ताकि सत्यापन और अनुकूलन किया जा सके। प्लेटफ़ॉर्म स्वचालित, विशेषज्ञ और खतरे के डेटा-संचालित जोखिम आकलन प्रदान करता है जो लागू करना आसान है और सभी साइबर सुरक्षा परिपक्वता स्तरों के संगठनों द्वारा आसानी से उपयोग किया जा सकता है। इसके अलावा, यह विशिष्ट वातावरण और सुरक्षा नीतियों के लिए रेड और पर्पल टीमिंग अभ्यास, टेलरिंग पैठ परिदृश्य और उन्नत हमले अभियानों को बनाने और स्वचालित करने के लिए एक खुला ढांचा प्रदान करता है।