Оптимизация ввода-вывода как инструмент обхода антивирусов

[Selena]

Представленный в 2019 году в Linux 5.1 асинхронный интерфейс io_uring предназначен для оптимизации операций ввода-вывода за счет буферизации пользовательских запросов к ядру и тем самым снижения числа переключений из пользовательского режима в режим ядра. Но внезапно выяснилось, что этот интерфейс позволяет прекрасно обходить мониторящие антивирусы, которые следят за системными вызовами. Ну как внезапно, первые публикации на тему потенциального использования io_uring в руткитах вышли еще три года назад, теперь же дело дошло до демонстрационного прототипа, получившего название Curing, который обошел таким образом стандартные конфигурации Falco, Tetragon и Microsoft Defender. Антивирусы теперь планируют помечать конфигурации с разрешенным io_uring как потенциально опасные, а пользователям предлагается запретить этот интерфейс с помощью команды sysctl -w kernel.io_uring_disabled=2. Причем именно это еще в середине 2023 года сделала Google, запретив его в ChromeOS и Android.


Source: bugtraq.ru/rsn/archive/2025/04/01.html