تتقدم روتكيتات لينكس باستخدام تقنيات eBPF و io_uring

العربية

قدمت مختبرات Elastic Security Labs تفاصيل تطور روتكيتات لينكس في سلسلة بحثية من جزئين نُشرت في 5 مارس 2026. تستغل هذه التهديدات الحديثة ميزات النواة مثل eBPF و io_uring للبقاء مخفية في بيئات السحابة و IoT والخوادم. يبرز البحث كيفية تجنب هذه الروتكيتات طرق الكشف التقليدية.

أصبحت روتكيتات لينكس تهديداً كبيراً للبنى التحتية الحديثة، خاصة مع الاعتماد المتزايد على لينكس في بيئات السحابة وتنسيق الحاويات وأجهزة إنترنت الأشياء والحوسبة عالية الأداء. كانت تركز تقليدياً على أنظمة ويندوز، لكن المهاجمين أعادوا توجيه انتباههم إلى لينكس، وطوروا روتكيتات تتلاعب بنظام التشغيل لإخفاء العمليات وإخفاء الملفات وإخفاء الاتصالات الشبكية وقمع وجودها في قوائم وحدات النواة. الهدف الرئيسي للروتكيت هو التمويه، مما يسمح بالوصول المطول إلى الأهداف ذات القيمة العالية مثل خوادم الحكومة وبنى الاتصالات ومزودي السحابة دون إثارة التنبيهات. تتبعت باحثو Elastic Security Labs هذا التطور عبر الأجيال: من اختطاف كائنات مشتركة في أوائل العقد الأول من القرن الحادي والعشرين، إلى زرع وحدات نواة قابلة للتحميل (LKM)، وصولاً إلى تقنيات التهرب القائمة على eBPF والمدعومة بـ io_uring. تشمل الأمثلة من العالم الحقيقي TripleCross و Boopkit و RingReaper، التي وثقت في 2025. eBPF، التي صُممت أصلاً كآلة افتراضية آمنة داخل النواة لتصفية الحزم والتتبع، تمكن المهاجمين من ربط استدعاءات النظام واعتراض أحداث النواة دون تحميل وحدات تقليدية. يمر هذا البايت كود عبر مدقق النواة ويتم تجميعه عبر JIT، مما يجعله يبدو شرعياً. ترتبط برامج eBPF بنقاط تتبع دخول استدعاءات النظام أو خطافات وحدة أمان لينكس (LSM) للرؤية في العمليات والملفات والشبكات. io_uring، التي أُدخلت في لينكس 5.1 للإدخال/الإخراج غير المتزامن عالي الأداء، تسمح بدفع العمليات عبر حلقات ذاكرة مشتركة، مما يقلل من أحداث استدعاءات النظام القابلة للملاحظة. هذا يعمي أدوات كشف واستجابة نقطة النهاية (EDR) التي تعتمد على مراقبة استدعاءات النظام. تفشل الأدوات التقليدية مثل rkhunter و chkrootkit ضد هذه، حيث لا تظهر زرعات eBPF في /proc/modules وتتجاوز Secure Boot. توصي Elastic بمراقبة استدعاءات io_uring_enter و io_uring_register غير الطبيعية، وتدقيق البرامج eBPF المحملة، واستخدام الطب الشرعي للذاكرة، وفحوصات سلامة النواة، وتيليمتري تحت الـ OS. يجب على المنظمات فرض قفل النواة، وتوقيع الوحدات، والتحديثات خارج الإصدار 6.9، الذي يعطل طرق الربط القديمة.

مقالات ذات صلة

Dramatic server room scene illustrating the SSHStalker Linux botnet infecting thousands of vulnerable servers via SSH exploits.
صورة مولدة بواسطة الذكاء الاصطناعي

Researchers discover SSHStalker botnet infecting Linux servers

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

Flare researchers have identified a new Linux botnet called SSHStalker that has compromised around 7,000 systems using outdated exploits and SSH scanning. The botnet employs IRC for command-and-control while maintaining dormant persistence without immediate malicious activities like DDoS or cryptomining. It targets legacy Linux kernels, highlighting risks in neglected infrastructure.

Updated linux patches manage out-of-memory behavior via bpf

Phoronix has reported on updated Linux patches aimed at managing out-of-memory behavior through BPF technology. These developments focus on improving how the Linux kernel handles memory shortages. The updates are part of ongoing efforts in open-source Linux advancements.

AI uncovers 50-80x improvement in Linux's IO_uring

من إعداد الذكاء الاصطناعي

Researchers have used artificial intelligence to identify a significant performance boost in Linux's IO_uring subsystem. The discovery reveals a 50-80x improvement in efficiency. This finding highlights AI's role in optimizing open-source software.

لينكس

Greg Kroah-Hartman runs AI-assisted fuzzing on Linux kernel

لينكس

Oracle upstreams KVM backend to VirtualBox for better Linux support

لينكس

XFS filesystem proposes self-healing for Linux kernel 7.0

Linus Torvalds signals Linux kernel 7.0 release is imminent

Linus Torvalds has announced that the Linux kernel will jump to version 7.0 after the 6.x series concludes, marking a cosmetic but symbolic milestone for the open-source project. The decision follows established versioning practices to keep minor numbers manageable, with no major technical overhaul tied to the change. Ongoing developments include expanded Rust integration and hardware support enhancements.

Linux kernel 7.0 released with major hardware and storage upgrades

من إعداد الذكاء الاصطناعي

Developers have released Linux kernel 7.0, featuring improvements for Intel and AMD hardware, enhanced storage handling, and the removal of the experimental label from Rust support. Linus Torvalds announced the update, which is not a long-term support version. The release includes preparations for upcoming CPUs and GPUs, alongside self-healing filesystem capabilities.

06 أبريل 2026 12:46

Linux kernel patch proposes detecting malicious USB devices

04 مارس 2026 07:00

Linux prepares IBPB-on-entry feature for AMD SEV-SNP VMs

21 فبراير 2026 18:58

Linux 7.0 kernel merges several enhancements

19 فبراير 2026 13:36

Researchers uncover new SysUpdate malware variant targeting Linux

14 فبراير 2026 06:39

SSHStalker botnet uses IRC to target Linux servers

10 فبراير 2026 19:39

New Linux botnet SSHStalker uses IRC for command-and-control

30 يناير 2026 21:23

Researchers uncover ShadowHS Linux exploitation framework

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض