拡張 Berkeley Packet Filter (eBPF) は、ネットワークからのデータ パケットをフィルタリングし、オペレーティング システム コアに埋め込みます。 このテクノロジーは、ユーザーによるコンピュータとネットワークの管理と保護をサポートします。 ただし、管理者やセキュリティ チームが十分に考慮することはほとんどありません。パケット フィルターには、ハッカーによってサイバー攻撃に簡単に悪用される可能性のある多数の脆弱性があります。
拡張 Berkeley パケット フィルターは、サンドボックス プログラムをオペレーティング システム カーネルなどの特権コンテキストで実行できるようにする特殊な目的の仮想マシンです。 データユニットのデータリンク層へのインターフェースを形成します。 このテクノロジーは、コンピュータとネットワークの管理と保護の両方をサポートします。
拡張 Berkeley パケット フィルター - 便利だが危険
eBPF を使用すると、データ パケットをフィルタリングし、無関係なデータによる PC とネットワークのパフォーマンスの低下を防ぐことができます。 使用不可能または欠陥のあるデータレコードは、最初から拒否または修復できます。 eBPF では、新しいファイアウォールと侵入検知ソリューションの使用、DDoS 攻撃に対する防御、アプリケーションとオペレーティング システム機能の監査の実装も可能になります。 このため、eBPF はサイバー攻撃に対する防御において貴重な支援となります。 しかし、データフィルターには多くの弱点もあります。 そして、サイバー犯罪者がこれを悪用するのは簡単ですが、多くの場合、セキュリティ チームやセキュリティ ツールは気付かないのです。
たとえば、攻撃者は、カーネル コンテキストで eBPF プログラムを検証する eBPF 検証ツールをターゲットにする可能性があります。 その後、不正なコードの実行を可能にするカーネルの脆弱性を発見した場合、権限昇格シナリオを開始することができます。 これにより、アクセス権限を昇格させて、より広範な攻撃を開始します。 たとえば、コンテナまたはサンドボックスからの脱出です。 その後、攻撃者は閉じられたアプリケーション パッケージから基礎となるホストに到達し、そこから他の閉じられたアプリケーション パッケージに侵入したり、ホスト自体でアクションを実行したりすることができます。
eBPF プログラムを介したルートキットのアップロード
攻撃者にとってのもう XNUMX つの出発点は、eBPF プログラムを使用して被害者のコンピュータにルートキットをインストールし、オペレーティング システムのコアに自身を埋め込むことです。 セキュリティ チームやセキュリティ ソリューションに検出されずに eBPF ルートキットを正常に操作するには、攻撃者はシステム コールの入力でトレースポイント フックポイントを介してフックし、すべてのシステム コール パラメータへの気付かれないアクセスを取得するだけで済みます。
インストールされたルートキットは、XDP および TC インフラストラクチャを使用して、アクセスと通信を操作したり、ネットワークから機密データを抽出したりできるようになります。 自らをステルス化し、さまざまなフック ポイントを経由して永続化し、プロセス権限を昇格し、さらにはバックドアを作成する可能性があります。 このような「eBPFマルウェア」は現実的な問題です。 従来のエンドポイント保護ソリューションのほとんどはそれらを検出できないためです。 Cymulate の SecDev チームのメンバーである Gal Yaniv 氏は、最近、ハッカーが Linux 環境で eBPF ルートキットを気付かれずに簡単に使用できることをブログ投稿で示しました。
ちょっと時間ありますか?
2023 年のユーザー アンケートに数分お時間をいただき、B2B-CYBER-SECURITY.de の改善にご協力ください。!10 問の質問に答えるだけで、Kaspersky、ESET、Bitdefender から賞品を獲得するチャンスがすぐにあります。
ここからアンケートに直接アクセスできます
危険: eBPF はますます多くの IT インフラストラクチャで見つかる可能性があります
それでも、eBPF は、管理者、IT、および IT セキュリティ チームの側でセキュリティに関する大きな懸念を抱くことなく、IT インフラストラクチャのパケット フィルタとしてますます頻繁に使用されています。 eBPF ルートキットは従来のエンドポイント セキュリティ ソリューションには事実上見えないため、eBPF パケット フィルターの導入によってもたらされるリスクに気づかないことがよくあります。 私たちができるのは、最終的にここで率先して eBPF を詳しく調べることだけです。 Gal Yaniv 氏がすでに指摘したように、IT 環境がこの種の攻撃から確実に保護されるようにするには、やるべきことは XNUMX つだけです。エミュレートし、エミュレートし、再度エミュレートすることです。
詳細については Cymulate.com をご覧ください
Cymulateについて
Cymulate のサイバーセキュリティ リスク検証およびエクスポージャー管理ソリューションは、MITRE ATT&CK® フレームワークによるエンドツーエンドの視覚化により、オンプレミスおよびクラウドでのサイバーセキュリティ体制を継続的に検証し、検証し、最適化する機能をセキュリティ専門家に提供します。 このプラットフォームは、実装が簡単で、あらゆるサイバーセキュリティ成熟度レベルの組織が簡単に使用できる、自動化された専門家による脅威データ主導のリスク評価を提供します。 さらに、レッドとパープルのチーミング演習を作成および自動化し、特定の環境やセキュリティ ポリシーに合わせて侵入シナリオと高度な攻撃キャンペーンを調整するためのオープン フレームワークを提供します。