Розширений фільтр пакетів Берклі (eBPF) фільтрує пакети даних із мереж і вбудовує їх у ядро операційної системи. Технологія підтримує користувачів в адмініструванні та захисті комп’ютерів і мереж. Однак те, що адміністратори та служби безпеки рідко враховують належним чином: фільтр пакетів має численні вразливості, якими хакери легко можуть зловживати для кібератак.
Розширений фільтр пакетів Berkeley — це віртуальна машина спеціального призначення, яка дозволяє запускати програми ізольованого програмного середовища в привілейованому контексті, наприклад, ядро операційної системи. Він формує інтерфейс до рівнів каналу даних блоків даних. Технологія підтримує як адміністрування, так і захист комп’ютерів і мереж.
Extended Berkeley Packet Filter - корисний і небезпечний
eBPF можна використовувати для фільтрації пакетів даних і запобігання зниженню продуктивності ПК і мережі через нерелевантні дані. Непридатні або несправні записи даних можуть бути відхилені або виправлені з самого початку. eBPF також дозволяє використовувати нові брандмауери та рішення для виявлення вторгнень, захист від DDoS-атак і здійснення аудиту програм і функцій операційної системи. Це робить eBPF цінним помічником у захисті від кібератак. Але фільтр даних також має численні недоліки. І цим легко скористатися для кіберзлочинців — часто непомітно для команд безпеки та інструментів безпеки.
Наприклад, зловмисники можуть націлитися на верифікатори eBPF, які перевіряють програми eBPF у контексті ядра. Якщо потім вони виявлять уразливість у ядрі, яка дозволяє запускати неавторизований код, вони можуть ініціювати сценарій підвищення привілеїв. Завдяки цьому вони підвищують привілеї доступу, щоб розпочати ширшу атаку; наприклад, контейнер або пісочниця. Потім зловмисник потрапляє із закритого пакета додатків на базовий хост, звідки він може проникати в інші закриті пакети додатків або виконувати дії на самому хості.
Завантаження руткіта через програму eBPF
Іншою відправною точкою для зловмисників є використання програм eBPF для встановлення руткіта на комп’ютер жертви та імплантування його в ядро операційної системи. Для того, щоб успішно працювати з руткітами eBPF (невиявленими групами безпеки та рішеннями безпеки), зловмисникові потрібно лише підключитися через точку трасування на вході системного виклику, щоб отримати непомічений доступ до всіх параметрів системного виклику.
Потім встановлений руткіт може використовувати інфраструктури XDP і TC для маніпулювання доступом і зв’язком або для вилучення конфіденційних даних з мережі. Він може приховувати себе, зберігатися через різні точки підключення, підвищувати привілеї процесу та навіть створювати бекдори. Такі «шкідливі програми eBPF» є справжньою проблемою. Оскільки більшість традиційних рішень для захисту кінцевих точок не можуть їх виявити. Гал Янів, член команди Cymulate SecDev, нещодавно показав у дописі в блозі, як легко хакери можуть непомітно використовувати руткіти eBPF у середовищі Linux.
У вас є хвилинка?
Приділіть кілька хвилин для нашого опитування користувачів 2023 року та допоможіть покращити B2B-CYBER-SECURITY.de!Вам потрібно відповісти лише на 10 запитань, і у вас є шанс виграти призи від Kaspersky, ESET і Bitdefender.
Тут ви переходите безпосередньо до опитування
Небезпечно: eBPF можна знайти у все більшій кількості ІТ-інфраструктур
І все ж: eBPF все частіше використовується як фільтр пакетів в ІТ-інфраструктурі – без особливих проблем безпеки з боку адміністраторів, ІТ та груп ІТ-безпеки. Оскільки руткіти eBPF практично невидимі для традиційних рішень безпеки кінцевих точок, вони часто не знають про ризики, пов’язані з розгортанням фільтра пакетів eBPF. Ми можемо лише порадити вам нарешті проявити ініціативу тут і придивитися до eBPF. Як уже зазначав Гал Янів, щоб дійсно бути впевненим, що ІТ-середовище захищено від такого типу атак, потрібно зробити лише одне: емулювати, емулювати і ще раз емулювати.
Більше на Cymulate.com
Про Cymulate
Рішення Cymulate для перевірки ризиків кібербезпеки та керування ризиками надає професіоналам із безпеки можливість постійно перевіряти свою позицію кібербезпеки локально та в хмарі за допомогою наскрізної візуалізації через структуру MITER ATT&CK® для перевірки й оптимізації. Платформа пропонує автоматизовані, експертні та керовані даними про загрози оцінки ризиків, які легко запровадити та можуть використовуватися організаціями будь-якого рівня зрілості кібербезпеки. Крім того, він забезпечує відкриту структуру для створення та автоматизації командних вправ Red і Purple, адаптації сценаріїв проникнення та розширених кампаній атак для певних середовищ і політик безпеки.