Всем привет! На этот раз вас ждет цикл статей на тему «eBPF глазами хакера». В первой части расскажу про то, как eBPF дает злоумышленнику «глаза» в системе – возможность незаметно наблюдать за вводом и событиями, а в следующих разделах рассмотрю, как через eBPF можно не только подслушивать, но и активно вмешиваться в работу системы.
eBPF (extended Berkeley Packet Filter, «расширенный фильтр пакетов Беркли») — это технология, изначально разработанная для расширения возможностей контроля сетевой подсистемы и процессов в ядре Linux. Она быстро привлекла внимание крупных IT-компаний, которые внесли вклад в её развитие. Однако своими уникальными возможностями заинтересовались и злоумышленники: дело в том, что eBPF можно злоупотреблять для сокрытия сетевой активности и процессов, сбора конфиденциальных данных, а также обхода брандмауэров и систем обнаружения – при этом обнаружить такую вредоносную активность крайне сложно. В результате eBPF стал новым инструментом в арсенале продвинутых атак: в последние годы были зафиксированы примеры малвари, использующей eBPF (семейства Boopkit, BPFDoor, Symbiote и др). Для защиты от подобных угроз требуется понимать, как работает eBPF изнутри и какие возможности он даёт атакующему.
Читать далее