LinkPro: Новая эра eBPF-руткитов с "магическими пакетами"
Дата публикации: 22 октября 2025 г.
Исследователи Synacktiv обнаружили изощренный руткит LinkPro, написанный на Golang и использующий технологию eBPF для сокрытия в ядре Linux. Этот backdoor демонстрирует качественный скачок в техниках сокрытия вредоносного ПО, сочетая kernel-level hiding с удаленной активацией через "magic packets" и представляя новый уровень сложности для систем обнаружения.
🎯 Революционная архитектура сокрытия
eBPF как новое оружие
LinkPro использует extended Berkeley Packet Filter (eBPF) — технологию ядра Linux для безопасного выполнения программ в kernel space без модификации самого ядра. Эта архитектура предоставляет злоумышленникам беспрецедентные возможности для создания стелс-backdoor'ов, работающих на уровне ядра с высокой стабильностью.
Руткит состоит из двух ключевых eBPF модулей: Hide модуль для сокрытия процессов, файлов и артефактов, и Knock модуль для удаленной активации. Такая модульная архитектура позволяет гибко управлять функциональностью и обеспечивает отказоустойчивость системы сокрытия.
"Магические пакеты" для активации
Уникальная особенность LinkPro — активация через TCP SYN-пакеты с размером окна 54321. Этот механизм позволяет злоумышленнику удаленно "пробуждать" спящий backdoor без необходимости поддерживать постоянные сетевые соединения или открытые порты.
# Концептуальный пример magic packet # TCP SYN с window size 54321 активирует Knock модуль tcpdump -i any 'tcp[tcpflags] & tcp-syn != 0 and tcp[14:2] = 54321'
При получении такого пакета Knock модуль перенаправляет трафик на внутренний порт для установления C2-связи, обеспечивая полностью пассивное прослушивание без демаскирующих признаков активной сетевой активности.
⚡ Сложная цепочка заражения
От Jenkins до AWS EKS
Инцидент начался с эксплуатации CVE-2024-23897 в уязвимом Jenkins сервере, exposed в интернет. Эта уязвимость с низким CVSS 3.1 позволяет arbitrary file read через CLI command parser, но в руках опытного атакующего становится входной точкой для масштабной компрометации.
Злоумышленники использовали скомпрометированный Jenkins для развертывания malicious Docker образа kvlnt/vv на нескольких кластерах Amazon EKS. Образ на базе Kali Linux содержал три критических компонента, каждый из которых выполнял специфическую роль в attack chain.
Escape из контейнера
Особенно опасной оказалась конфигурация mount point'а в Docker образе:
| Параметр | Значение |
|---|---|
| Source (host) | / |
| Destination (container) | /mnt |
| Access | Read/Write |
| Type | Bind |
Эта конфигурация предоставляла полный доступ к host filesystem с root привилегиями, позволяя атакующим выйти за пределы контейнера и получить контроль над узлами Kubernetes.
🛠️ Арсенал инструментов
vGet: Rust-based Downloader
Центральным компонентом payload'а является vGet — downloader malware, написанный на Rust и stripped от отладочной информации. Этот инструмент загружает зашифрованный payload из S3 bucket по URL https[:]//fixupcount[.]s3.dualstack[.]ap-northeast-1.amazonaws[.]com/wehn/rich.png.
Интересная деталь: в коде обнаружены пути с username cosmanking, что может указывать на разработчика или использованную build environment. vGet создает символическую ссылку /tmp/.del на /dev/null для предотвращения записи command history.
vShell 4.9.3: Cracked Backdoor
Загружаемый payload представляет собой vShell версии 4.9.3 — документированный backdoor, ранее использовавшийся группировкой UNC5174. Критически важно, что недавняя версия vShell вместе с cracked license стала доступна для скачивания, что демократизирует использование этого sophisticated backdoor различными threat actors.
vShell поддерживает множественные каналы коммуникации: WebSocket соединения с C2 сервером 56.155.98.37 и DNS tunneling для обхода network restrictions. Backdoor выполняется полностью в памяти, не оставляя файловых артефактов на диске.
VPN Proxy Infrastructure
Третий компонент — vnt, open-source VPN сервер, обеспечивающий proxy capabilities через community relay server vnt.wherewego.top:29872. Конфигурация включает:
Token identification: ooonnn для идентификации виртуальной VLAN на relay сервере. Encryption: AES128-GCM для межклиентской коммуникации с паролем mmm000. Advanced encryption: RSA+AES256-GCM между клиентами и сервером для предотвращения token leakage и MITM атак.
Эта инфраструктура позволяет атакующим подключаться к скомпрометированным серверам с любого IP-адреса и использовать их как proxy для доступа к другим системам в инфраструктуре.
🔍 Механизмы eBPF сокрытия
Hide модуль: Kernel-level Stealth
Hide модуль LinkPro использует комбинацию Tracepoint и Kretprobe eBPF программ для перехвата системных вызовов и модификации их результатов. Tracepoint программы перехватывают события на уровне ядра, while Kretprobe программы модифицируют возвращаемые значения kernel функций.
Этот подход обеспечивает комплексное сокрытие процессов из /proc filesystem, маскировку файловых артефактов, и скрытие сетевых соединений от стандартных утилит мониторинга. Критически важно, что такое сокрытие происходит на kernel level, что делает его практически невидимым для userspace detection tools.
Fallback стратегия
При отсутствии необходимых kernel features для eBPF, LinkPro автоматически переключается на альтернативный механизм сокрытия через модификацию /etc/ld.so.preload. Эта техника dynamic linker hijacking обеспечивает backward compatibility и расширяет спектр поддерживаемых систем.
🎭 Персистентность и маскировка
Spoofing systemd-resolved
Для обеспечения долгосрочной персистентности LinkPro маскируется под systemd-resolved — легитимный системный процесс DNS resolution. Эта техника process name spoofing позволяет backdoor'у скрываться среди обычных системных процессов, значительно усложняя обнаружение.
Credential Harvesting в Kubernetes
Особенно изощренной является техника извлечения credentials из Kubernetes environment. Атакующие выполняли команды для доступа к:
Service Account Tokens из projected volumes для API authentication. TLS Certificates из secret volumes для encrypted communications. Configuration Data из ConfigMaps и persistent volumes. API Keys и другие sensitive data из различных pod volumes.
Эта информация предоставляла широкие возможности для lateral movement и эскалации привилегий в Kubernetes кластере.
🚨 Эволюция угроз и детектирование
Преимущества eBPF для Malware
eBPF предоставляет threat actors уникальные преимущества по сравнению с традиционными техниками:
Kernel-level execution без необходимости модификации ядра обеспечивает максимальные привилегии с минимальными рисками. Higher stability по сравнению с LKM rootkits благодаря built-in verifier, предотвращающему kernel crashes. Dynamic loading/unloading позволяет гибко управлять функциональностью без перезагрузки системы.
Детектирование eBPF активности
Для обнаружения LinkPro и подобных угроз рекомендуется:
Мониторинг eBPF программ с помощью bpftool prog list для выявления подозрительных kernel programs. Анализ системных вызовов на предмет аномального поведения и unexpected filtering. Network monitoring для обнаружения magic packets с специфическими характеристиками.
# Проверка активных eBPF программ bpftool prog list bpftool map list # Мониторинг подозрительной сетевой активности tcpdump -i any 'tcp[14:2] = 54321'
💡 Защитные меры и рекомендации
Немедленные действия
Патчинг CVE-2024-23897 в Jenkins installations должен стать приоритетом, особенно для exposed серверов. Аудит Docker образов и container configurations для выявления подозрительных mount points и привилегий. Мониторинг IOCs включая домены vnt.wherewego.top, IP 56.155.98.37, и S3 URLs.
Долгосрочная стратегия
Kernel hardening через отключение ненужных eBPF функций для снижения attack surface. Container security с принципами least privilege и proper isolation. Advanced monitoring с фокусом на kernel-level activity и eBPF usage patterns.
Организационные меры
Разработка eBPF security policies для контроля использования eBPF в production средах. Security awareness для DevOps команд о рисках container escape и privilege escalation. Incident response procedures специально адаптированные для eBPF-based threats.
Источники: