С увеличением популярности offensive-инструментов, использующих eBPF - начиная от кражи учетных данных до руткитов, скрывающих свой PID, авторы столкнулись с вопросом: можно ли сделать eBPF невидимым для системных администраторов? В результате этого запроса они создали nysm - stealth контейнер для eBPF, предназначенный для того, чтобы сделать атакующие инструменты незаметными, не только скрывая eBPF, но и многое другое:
Как это работает?
- bpftool
- bpflist-bpfcc
- ps
- top
- sockstat
- ss
- rkhunter
- chkrootkit
- lsof
- auditd
- и другие.
Как это работает?
Поскольку eBPF не может перезаписывать возвращаемые значения или адреса ядра, наша цель - найти вызов самого низкого уровня, взаимодействующий с адресом пользовательского пространства, чтобы перезаписать его значение и скрыть нужные объекты. Все события nysm выполняются в отдельном пространстве имен PID, чтобы их можно было легко отличить от других.