Genişletilmiş Berkeley Paket Filtresi (eBPF), veri paketlerini ağlardan filtreler ve bunları işletim sistemi çekirdeğine yerleştirir. Teknoloji, bilgisayarların ve ağların yönetimi ve korunmasında kullanıcıları destekler. Bununla birlikte, yöneticilerin ve güvenlik ekiplerinin nadiren yeterince hesaba kattığı bir şey: Paket filtresi, bilgisayar korsanları tarafından bir siber saldırı için kolayca kötüye kullanılabilecek çok sayıda güvenlik açığına sahiptir.
Genişletilmiş Berkeley Paket Filtresi, korumalı alandaki programların işletim sistemi çekirdeği gibi ayrıcalıklı bir bağlamda çalışmasına izin veren özel amaçlı bir sanal makinedir. Veri birimlerinin veri bağlantı katmanlarına bir arayüz oluşturur. Teknoloji, bilgisayarların ve ağların hem yönetimini hem de korunmasını destekler.
Genişletilmiş Berkeley Paket Filtresi - yararlı ve tehlikeli
eBPF, veri paketlerini filtrelemek ve alakasız veriler nedeniyle bilgisayar ve ağ performansının yavaşlamasını önlemek için kullanılabilir. Kullanılamayan veya hatalı veri kayıtları baştan reddedilebilir veya onarılabilir. eBPF ayrıca yeni güvenlik duvarı ve izinsiz giriş tespit çözümlerinin kullanımına, DDoS saldırılarına karşı savunmaya ve uygulamalar ve işletim sistemi işlevleri üzerinde denetimlerin uygulanmasına olanak tanır. Bu, eBPF'yi siber saldırılara karşı savunmada değerli bir yardımcı yapar. Ancak veri filtresinin de çok sayıda zayıf yönü vardır. Siber suçluların yararlanması kolaydır - genellikle güvenlik ekipleri ve güvenlik araçları tarafından fark edilmez.
Örneğin saldırganlar, çekirdek bağlamında eBPF programlarını doğrulayan eBPF doğrulayıcılarını hedefleyebilir. Daha sonra, çekirdekte yetkisiz kodun çalışmasına izin veren bir güvenlik açığı keşfederlerse, bir ayrıcalık yükseltme senaryosu başlatabilirler. Bu sayede, daha geniş bir saldırı başlatmak için erişim ayrıcalıklarını yükseltirler; örneğin bir konteyner veya sanal alan kaçışı. Saldırgan daha sonra kapalı uygulama paketinden, diğer kapalı uygulama paketlerine nüfuz edebileceği veya ana bilgisayarın kendisinde eylemler gerçekleştirebileceği temeldeki ana bilgisayara geçer.
eBPF programı aracılığıyla rootkit yükleme
Saldırganlar için başka bir başlangıç noktası, eBPF programlarını kullanarak kurbanın bilgisayarına bir rootkit yüklemek ve kendisini işletim sisteminin çekirdeğine yerleştirmektir. Güvenlik ekipleri ve güvenlik çözümleri tarafından algılanmayan eBPF rootkit'leriyle başarılı bir şekilde çalışmak için, saldırganın tüm sistem çağrısı parametrelerine fark edilmeden erişim elde etmek için yalnızca bir sistem çağrısının girişinde bir izleme noktası kanca noktası aracılığıyla bağlanması yeterlidir.
Kurulan rootkit, erişim ve iletişimi manipüle etmek veya ağdan hassas verileri çıkarmak için XDP ve TC altyapılarını kullanabilir. Kendini gizleyebilir, çeşitli kanca noktalarında varlığını sürdürebilir, işlem ayrıcalıklarını yükseltebilir ve hatta arka kapılar oluşturabilir. Bu tür 'eBPF kötü amaçlı yazılımı' gerçek bir sorundur. Çünkü çoğu geleneksel uç nokta koruma çözümü bunları algılayamaz. Cymulate'in SecDev ekibinin bir üyesi olan Gal Yaniv, geçtiğimiz günlerde bir blog gönderisinde bilgisayar korsanlarının Linux ortamında fark edilmeden eBPF rootkit'lerini ne kadar kolay kullanabileceğini gösterdi.
Bir anın var mı?
2023 kullanıcı anketimiz için birkaç dakikanızı ayırın ve B2B-CYBER-SECURITY.de'nin daha iyi olmasına yardımcı olun!Yalnızca 10 soruyu yanıtlamanız yeterlidir ve anında Kaspersky, ESET ve Bitdefender'dan ödüller kazanma şansınız olur.
Buradan doğrudan ankete gidersiniz
Tehlikeli: eBPF giderek daha fazla BT altyapısında bulunabilir
Ve yine de: eBPF, BT altyapılarında bir paket filtresi olarak giderek daha sık kullanılıyor - yöneticiler, BT ve BT güvenlik ekipleri açısından büyük güvenlik endişeleri olmadan. eBPF rootkit'leri, geleneksel uç nokta güvenlik çözümlerinde neredeyse görünmez olduğundan, genellikle bir eBPF paket filtresi konuşlandırmanın getirdiği risklerin farkında değildir. Size sadece nihayet burada inisiyatif almanızı ve eBPF'ye daha yakından bakmanızı tavsiye edebiliriz. Gal Yaniv'in daha önce belirttiği gibi, BT ortamlarının bu tür saldırılara karşı gerçekten korunduğundan emin olmak için yapılacak tek bir şey var: öykünmek, öykünmek ve yeniden öykünmek.
Daha fazlası Cymulate.com'da
Cymulate Hakkında
Cymulate'in siber güvenlik risk doğrulaması ve maruz kalma yönetimi çözümü, güvenlik uzmanlarına, doğrulamak ve optimize etmek için MITRE ATT&CK® çerçevesi aracılığıyla uçtan uca görselleştirme ile kurum içinde ve bulutta siber güvenlik duruşlarını sürekli olarak doğrulama yeteneği sağlar. Platform, uygulanması kolay ve tüm siber güvenlik olgunluk seviyelerindeki kuruluşlar tarafından kolayca kullanılabilen otomatikleştirilmiş, uzman ve tehdit verisine dayalı risk değerlendirmeleri sunar. Buna ek olarak, Red ve Purple ekip çalışması oluşturma ve otomatikleştirme, sızma senaryolarını ve belirli ortamlar ve güvenlik politikaları için gelişmiş saldırı kampanyalarını uyarlama için açık bir çerçeve sağlar.