Elastic Security Labs merinci evolusi rootkit Linux dalam seri penelitian dua bagian yang diterbitkan pada 5 Maret 2026. Ancaman modern ini mengeksploitasi fitur kernel seperti eBPF dan io_uring untuk tetap tersembunyi di lingkungan cloud, IoT, dan server. Penelitian tersebut menyoroti bagaimana rootkit semacam itu mengelakkan metode deteksi tradisional.
Rootkit Linux telah muncul sebagai ancaman signifikan terhadap infrastruktur modern, terutama dengan semakin luasnya adopsi Linux di lingkungan cloud, orkestrasi kontainer, perangkat IoT, dan komputasi berkinerja tinggi. Secara tradisional berfokus pada sistem Windows, para penyerang telah mengalihkan perhatian ke Linux, mengembangkan rootkit yang memanipulasi sistem operasi untuk menyembunyikan proses, menyembunyikan file, menyamarkan koneksi jaringan, dan menekan kehadiran mereka dalam daftar modul kernel. nnTujuan utama rootkit adalah penyembunyian, memungkinkan akses berkepanjangan ke target bernilai tinggi seperti server pemerintah, infrastruktur telekomunikasi, dan penyedia cloud tanpa memicu peringatan. Peneliti Elastic Security Labs melacak kemajuan ini melalui berbagai generasi: dari pembajakan shared-object pada awal 2000-an, ke implan modul kernel yang dapat dimuat (LKM), dan sekarang ke teknik penghindaran berbasis eBPF dan bertenaga io_uring. nnContoh di dunia nyata mencakup TripleCross, Boopkit, dan RingReaper, yang didokumentasikan pada 2025. eBPF, yang awalnya dirancang sebagai mesin virtual in-kernel yang aman untuk penyaringan paket dan pelacakan, memungkinkan penyerang memasang hook pada syscalls dan mencegat peristiwa kernel tanpa memuat modul tradisional. Bytecode ini melewati verifier kernel dan dikompilasi JIT, sehingga tampak sah. Program eBPF menempel pada tracepoint masuk syscall atau hook Modul Keamanan Linux (LSM) untuk visibilitas terhadap proses, file, dan jaringan. nnio_uring, yang diperkenalkan di Linux 5.1 untuk I/O asinkron berkinerja tinggi, memungkinkan pengelompokan operasi melalui ring memori bersama, sehingga mengurangi peristiwa syscall yang dapat diamati. Hal ini membutakan alat deteksi dan respons endpoint (EDR) yang bergantung pada pemantauan syscall. nnAlat tradisional seperti rkhunter dan chkrootkit gagal melawannya, karena implan eBPF tidak muncul di /proc/modules dan melewati Secure Boot. Elastic merekomendasikan pemantauan syscall io_uring_enter dan io_uring_register yang anomali, mengaudit program eBPF yang dimuat, menggunakan forensik memori, pemeriksaan integritas kernel, dan telemetri sub-OS. Organisasi harus menerapkan kernel lockdown, penandatanganan modul, serta pembaruan di luar versi 6.9, yang mengganggu metode hooking lama.
