O Extended Berkeley Packet Filter (eBPF) filtra pacotes de dados de redes e os incorpora no kernel do sistema operacional. A tecnologia oferece suporte aos usuários na administração e proteção de computadores e redes. No entanto, o que os administradores e as equipes de segurança raramente levam em conta suficientemente: o filtro de pacotes tem inúmeras vulnerabilidades que podem ser facilmente utilizadas indevidamente por hackers para um ataque cibernético.
O Berkeley Packet Filter estendido é uma máquina virtual de finalidade especial que permite que programas em área restrita sejam executados em um contexto privilegiado, como o kernel do sistema operacional. Ele forma uma interface para as camadas de enlace de dados das unidades de dados. A tecnologia suporta tanto a administração quanto a proteção de computadores e redes.
Filtro de Pacote Berkeley Estendido - útil e perigoso
O eBPF pode ser usado para filtrar pacotes de dados e evitar que o desempenho do PC e da rede diminua devido a dados irrelevantes. Registros de dados inutilizáveis ou defeituosos podem ser rejeitados ou reparados desde o início. O eBPF também permite a utilização de novas soluções de firewall e detecção de intrusão, a defesa contra ataques DDoS e a implementação de auditorias em aplicativos e funções do sistema operacional. Isso torna o eBPF uma ajuda valiosa na defesa contra ataques cibernéticos. Mas o filtro de dados também tem vários pontos fracos. E é fácil para os cibercriminosos se aproveitarem - muitas vezes despercebidos pelas equipes de segurança e ferramentas de segurança.
Por exemplo, os invasores podem ter como alvo os verificadores eBPF que validam programas eBPF no contexto do kernel. Se eles descobrirem uma vulnerabilidade no kernel que permite a execução de código não autorizado, eles poderão iniciar um cenário de escalonamento de privilégios. Com isso, eles elevam os privilégios de acesso para lançar um ataque mais amplo; por exemplo, um escape de contêiner ou sandbox. O invasor então vai do pacote de aplicativos fechado para o host subjacente, de onde ele pode penetrar em outros pacotes de aplicativos fechados ou executar ações no próprio host.
Carregamento de rootkit via programa eBPF
Outro ponto de partida para os invasores é usar programas eBPF para instalar um rootkit no computador da vítima e se implantar no núcleo do sistema operacional. Para operar com sucesso com rootkits eBPF - não detectados por equipes de segurança e soluções de segurança - o invasor só precisa se conectar por meio de um hookpoint tracepoint na entrada de uma chamada do sistema para obter acesso despercebido a todos os parâmetros da chamada do sistema.
O rootkit instalado pode então usar as infraestruturas XDP e TC para manipular o acesso e a comunicação ou extrair dados confidenciais da rede. Ele pode se esconder, persistir em vários pontos de gancho, elevar privilégios de processo e até mesmo criar backdoors. Esse 'malware eBPF' é um problema real. Porque a maioria das soluções tradicionais de proteção de endpoint não consegue detectá-los. Gal Yaniv, um membro da equipe SecDev da Cymulate, recentemente mostrou em um post de blog como facilmente os hackers podem usar rootkits eBPF despercebidos em um ambiente Linux.
Você tem um momento?
Reserve alguns minutos para nossa pesquisa de usuários de 2023 e ajude a melhorar o B2B-CYBER-SECURITY.de!Você só precisa responder a 10 perguntas e tem uma chance imediata de ganhar prêmios da Kaspersky, ESET e Bitdefender.
Aqui você vai direto para a pesquisa
Perigoso: o eBPF pode ser encontrado em cada vez mais infraestruturas de TI
E ainda: o eBPF está sendo usado cada vez com mais frequência como filtro de pacotes em infraestruturas de TI - sem grandes preocupações de segurança por parte dos administradores, TI e equipes de segurança de TI. Como os rootkits eBPF são virtualmente invisíveis para as soluções tradicionais de segurança de endpoint, eles muitas vezes desconhecem os riscos representados pela implantação de um filtro de pacotes eBPF. Só podemos aconselhá-lo a finalmente tomar a iniciativa aqui e dar uma olhada no eBPF. Como Gal Yaniv já apontou, para realmente ter certeza de que os ambientes de TI estão protegidos contra esse tipo de ataque, só há uma coisa a fazer: emular, emular e emular novamente.
Mais em Cymulate.com
Sobre Cymulate
A solução da Cymulate para validação de risco de segurança cibernética e gerenciamento de exposição fornece aos profissionais de segurança a capacidade de validar continuamente sua postura de segurança cibernética no local e na nuvem com visualização de ponta a ponta por meio da estrutura MITRE ATT&CK®, para validar e otimizar. A plataforma oferece avaliações de risco automatizadas, especializadas e baseadas em dados de ameaças que são fáceis de implementar e podem ser facilmente usadas por organizações de todos os níveis de maturidade em segurança cibernética. Além disso, fornece uma estrutura aberta para criar e automatizar exercícios de equipe Red e Purple, adaptando cenários de penetração e campanhas avançadas de ataque para ambientes e políticas de segurança específicos.