Elastic Security Labs har beskrivit utvecklingen av Linux-rotkitar i en forskningsrapport i två delar som publicerades den 5 mars 2026. Dessa moderna hot utnyttjar kärnfunktioner som eBPF och io_uring för att förbli dolda i moln-, IoT- och servermiljöer. Forskningen belyser hur sådana rotkitar undviker traditionella detektionsmetoder.
Linux-rotkitar har vuxit fram som ett betydande hot mot modern infrastruktur, särskilt i takt med den ökande användningen av Linux i molnmiljöer, containerorkestrering, IoT-enheter och högpresterande beräkningar. Traditionellt inriktade på Windows-system har angripare nu flyttat fokus till Linux och utvecklat rotkitar som manipulerar operativsystemet för att dölja processer, gömma filer, maskera nätverksanslutningar och dölja sin närvaro i listor över kärnmoduler. En rootkits primära syfte är osynlighet, vilket ger långvarig åtkomst till högvärdiga mål som statliga servrar, telekommunikationsinfrastruktur och molnleverantörer utan att utlösa larm. Forskare vid Elastic Security Labs har spårat denna utveckling genom generationerna: från kapning av delade objekt i början av 2000-talet, till implantering av laddningsbara kärnmoduler (LKM), och nu till undvikande tekniker baserade på eBPF och io_uring. Verkliga exempel inkluderar TripleCross, Boopkit och RingReaper, som dokumenterades 2025. eBPF, som ursprungligen utformades som en säker virtuell maskin i kärnan för paketfiltrering och spårning, gör det möjligt för angripare att koppla på systemanrop och avlyssna kärnhändelser utan att ladda traditionella moduler. Denna bytekod passerar kärnans verifierare och JIT-kompileras, vilket gör att den ser legitim ut. eBPF-program fästs vid spårningspunkter för systemanropsinträden eller krokar i Linux Security Module (LSM) för insyn i processer, filer och nätverk. io_uring, som introducerades i Linux 5.1 för högpresterande asynkron I/O, tillåter batchning av operationer via delade minnesringar och minskar därmed de observerbara systemanropshändelserna. Detta bländar verktyg för endpointdetektering och svar (EDR) som förlitar sig på systemanropsövervakning. Traditionella verktyg som rkhunter och chkrootkit är verkningslösa mot dessa, eftersom eBPF-implantat inte visas i /proc/modules och kringgår Secure Boot. Elastic rekommenderar övervakning av avvikande systemanrop som io_uring_enter och io_uring_register, granskning av laddade eBPF-program, användning av minnesforensik, kärnintegritetskontroller och telemetri på sub-OS-nivå. Organisationer bör införa kernel lockdown, modulsignering och uppdateringar från version 6.9 och framåt, vilka stör äldre hookingmetoder.
