LinkPro: Новая эра eBPF-руткитов с "магическими пакетами"
#malware #eBPF #linux #kernel #hardening
Исследователи Synacktiv обнаружили изощренный руткит LinkPro, написанный на Golang и использующий технологию eBPF для сокрытия в ядре Linux. Этот backdoor демонстрирует качественный скачок в техниках сокрытия вредоносного ПО, сочетая kernel-level hiding с удаленной активацией через "magic packets" и представляя новый уровень сложности для систем обнаружения.
➡️ Hide&Seek
Руткит состоит из двух ключевых eBPF модулей: Hide модуль для сокрытия процессов, файлов и артефактов, и Knock модуль для удаленной активации. Такая модульная архитектура позволяет гибко управлять функциональностью и обеспечивает отказоустойчивость системы сокрытия.
"Магические пакеты" для активации
Уникальная особенность LinkPro — активация через TCP SYN-пакеты с размером окна 54321. Этот механизм позволяет злоумышленнику удаленно "пробуждать" спящий backdoor без необходимости поддерживать постоянные сетевые соединения или открытые порты.
При получении такого пакета Knock модуль перенаправляет трафик на внутренний порт для установления C2-связи, обеспечивая полностью пассивное прослушивание без демаскирующих признаков активной сетевой активности.
🔗 blog.poxek
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#malware #eBPF #linux #kernel #hardening
Исследователи Synacktiv обнаружили изощренный руткит LinkPro, написанный на Golang и использующий технологию eBPF для сокрытия в ядре Linux. Этот backdoor демонстрирует качественный скачок в техниках сокрытия вредоносного ПО, сочетая kernel-level hiding с удаленной активацией через "magic packets" и представляя новый уровень сложности для систем обнаружения.
Руткит состоит из двух ключевых eBPF модулей: Hide модуль для сокрытия процессов, файлов и артефактов, и Knock модуль для удаленной активации. Такая модульная архитектура позволяет гибко управлять функциональностью и обеспечивает отказоустойчивость системы сокрытия.
"Магические пакеты" для активации
Уникальная особенность LinkPro — активация через TCP SYN-пакеты с размером окна 54321. Этот механизм позволяет злоумышленнику удаленно "пробуждать" спящий backdoor без необходимости поддерживать постоянные сетевые соединения или открытые порты.
# Концептуальный пример magic packet
# TCP SYN с window size 54321 активирует Knock модуль
tcpdump -i any 'tcp[tcpflags] & tcp-syn != 0 and tcp[14:2] = 54321'
При получении такого пакета Knock модуль перенаправляет трафик на внутренний порт для установления C2-связи, обеспечивая полностью пассивное прослушивание без демаскирующих признаков активной сетевой активности.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯17
9 обходов Windows Administrator Protection
#LPE #Windows11 #UAC #kernel #ProjectZero
James Forshaw из Google Project Zero разобрал Administrator Protection (AP) - новую фичу Windows 11 25H2, которую Microsoft позиционирует как секьюрную замену UAC. Спойлер: он нашёл 9 способов тихо получить админские права. Хорошая новость - Microsoft всё исправила ещё до релиза (KB5067036).
♾️ Как работает AP♾️
AP изолирует админские права в отдельном shadow administrator account. В отличие от классического UAC со split-token на одном аккаунте, AP создаёт отдельный сеанс входа (уникальный AuthenticationId/LUID) при каждого повышения прав. Это должно исключить перехват контекста между режимами и убрать auto-elevation для Microsoft-бинарников.
Самый интересный байпасс Forshaw детально описал атаку через перехват DOS Device Directory:
▪️ Запускаем процесс shadow admin через RAiProcessRunOnce → выполнит runonce.exe с диска C:
▪️ Открываем дескриптор процесса до обращения к файлам, запрашиваем primary token
▪️ Конвертируем в impersonation token с уровнем SecurityIdentification
▪️ Инициируем создание DOS-директории через NtOpenDirectoryObject к ??
▪️ Из-за Identification level ядро назначает владельцем юзера из primary token, а не админа
▪️ Создаём симлинк C: → подконтрольный путь
▪️ Процесс загружает пейлоад с правами админа
Ирония в том, что этот баг существовал годами, но стал эксплуатируемым именно благодаря AP — раньше не было сценария, где ограниченный юзер мог выполнить код до создания первого админского процесса.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#LPE #Windows11 #UAC #kernel #ProjectZero
James Forshaw из Google Project Zero разобрал Administrator Protection (AP) - новую фичу Windows 11 25H2, которую Microsoft позиционирует как секьюрную замену UAC. Спойлер: он нашёл 9 способов тихо получить админские права. Хорошая новость - Microsoft всё исправила ещё до релиза (KB5067036).
AP изолирует админские права в отдельном shadow administrator account. В отличие от классического UAC со split-token на одном аккаунте, AP создаёт отдельный сеанс входа (уникальный AuthenticationId/LUID) при каждого повышения прав. Это должно исключить перехват контекста между режимами и убрать auto-elevation для Microsoft-бинарников.
Самый интересный байпасс Forshaw детально описал атаку через перехват DOS Device Directory:
Ирония в том, что этот баг существовал годами, но стал эксплуатируемым именно благодаря AP — раньше не было сценария, где ограниченный юзер мог выполнить код до создания первого админского процесса.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10