Un sofisticado malware post-explotación llamado RingReaper ha sido identificado como uno de los primeros ejemplos en el mundo real que aprovecha la moderna interfaz io_uring del kernel de Linux para evadir los sistemas de detección y respuesta de endpoints (EDR).
Este método le permite operar de forma sigilosa, evitando los ganchos de llamadas al sistema (syscalls) en los que se basan la mayoría de las soluciones de seguridad tradicionales.
De la teoría a la amenaza real
La interfaz io_uring, introducida en Linux 5.1 (2019), fue diseñada para mejorar el rendimiento de las operaciones de entrada/salida (I/O) mediante colas compartidas de memoria que reducen el número de syscalls necesarios.
Hasta 2025, el uso malicioso de io_uring era solo un experimento académico o pruebas de concepto. Sin embargo, RingReaper marca un antes y un después al reemplazar syscalls clásicos con operaciones io_uring como io_uring_prep_read o io_uring_prep_send, según explica Sıla Özeren, investigadora de Picus Security.
Este enfoque convierte a RingReaper en una técnica de evasión de vanguardia, aún no común en malware de uso masivo.
Abuso post-compromiso en servidores Linux
RingReaper está diseñado para explotar sistemas ya comprometidos, especialmente servidores Linux empresariales y cargas en la nube, donde los agentes EDR son comunes y la discreción resulta crítica.
El análisis técnico mostró que utiliza io_uring para:
- Descubrir y listar procesos en ejecución.
- Enumerar sesiones de pseudo terminal (PTY) activas.
- Detectar conexiones de red activas.
- Identificar usuarios conectados.
- Ejecutar exfiltración de datos.
- Realizar escalamiento de privilegios.
Además, incorpora una función de autodestrucción (también vía io_uring) que elimina sus binarios y borra rastros para reducir la visibilidad forense.
Una evolución del malware avanzado
RingReaper representa la nueva generación de técnicas de evasión frente a defensas de endpoints.
A diferencia de tácticas previas como la ofuscación de procesos, el abuso de APIs legítimas o el proceso hollowing, RingReaper centra su poder en io_uring, una zona poco vigilada por los EDR actuales.
Casos similares recientes:
- GhostEngine: malware multimodal que explotaba drivers vulnerables para desactivar EDR.
- Crypto24 ransomware: usó una versión modificada de RealBindingEDR para neutralizar defensas en endpoints.
Recomendaciones para defensa empresarial
Según Özeren, las organizaciones deberían:
- Monitorear llamadas como io_uring_setup, poco comunes en aplicaciones corporativas.
- Generar alertas en binarios que consulten /proc, /dev/pts o tablas de red usando io_uring en lugar de herramientas como ps o netstat.
- Usar herramientas de seguridad en tiempo de ejecución del kernel, capaces de capturar actividad de archivos y sockets independientemente de la ruta syscall.
- Restringir o deshabilitar io_uring cuando no sea estrictamente necesario, dado que muchas cargas de producción no lo requieren.
Conclusión
RingReaper no es un malware común:
- Demuestra alto nivel técnico en el manejo de APIs del kernel de Linux.
- Requiere conocimientos expertos en I/O asíncrona y evasión de telemetría EDR.
- Probablemente esté respaldado por actores con recursos significativos.
Esta amenaza subraya la necesidad de redoblar la vigilancia en Linux, especialmente en infraestructuras críticas como nubes, proveedores de datos y centros de datos.
Fuente: somoslibres
