Специалисты ARMO создали программу Curing, которая может скрыться в системе, используя новый способ работы с данными в Linux. Этот метод позволяет программе обходить средства безопасности, которые обычно отслеживают действия программ.
Curing может тайно соединяться с удаленным сервером и выполнять различные действия, такие как чтение и запись файлов, создание ссылок и запуск процессов. Все эти операции выполняются через новый метод работы с данными.
Метод io_uring был добавлен в Linux 5.1 для улучшения связи между программами и ядром. Он позволяет выполнять множество операций без замедления процессов.
Многие программы безопасности для Linux не могут обнаружить Curing из-за его способности обходить стандартные методы защиты. Некоторые компании уже работают над исправлением этой проблемы, чтобы защитить свои продукты от таких программ.
Программа Tetragon в своей стандартной настройке не может обнаружить вредоносную активность, но разработчики уверены, что ее можно настроить для обнаружения программ подобных Curing.
Microsoft Defender for Endpoint обнаружил только изменение файлов, но компания пока не отреагировала на проблему.
Код программы Curing доступен на GitHub для ознакомления и тестирования.
© KiberSec.ru – 25.04.2025, обновлено 25.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
