Оптимизация ввода-вывода как инструмент обхода антивирусов
dl // 30.04.25 23:29
Представленный в 2019 году в Linux 5.1 асинхронный интерфейс io_uring предназначен для оптимизации операций ввода-вывода за счет буферизации пользовательских запросов к ядру и тем самым снижения числа переключений из пользовательского режима в режим ядра.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2025/04/01.html]
Но внезапно выяснилось, что этот интерфейс позволяет прекрасно обходить мониторящие антивирусы, которые следят за системными вызовами. Ну как внезапно, первые публикации на тему потенциального использования io_uring в руткитах вышли еще три года назад, теперь же дело дошло до демонстрационного прототипа, получившего название Curing, который обошел таким образом стандартные конфигурации Falco, Tetragon и Microsoft Defender.
Антивирусы теперь планируют помечать конфигурации с разрешенным io_uring как потенциально опасные, а пользователям предлагается запретить этот интерфейс с помощью команды sysctl -w kernel.io_uring_disabled=2. Причем именно это еще в середине 2023 года сделала Google, запретив его в ChromeOS и Android.
