Dans cet article, nous allons découvrir comment tirer parti d’eBPF dans le but d’innover les modèles d’attaques sous Linux en se focalisant sur trois étapes essentielles : Persistance, Latéralisation et Anti forensics !
eBPF est une technologie introduite dans le noyau 3.18 en 2014. Elle a pour but d’ajouter des fonctionnalités de monitoring avancées qui apportent une réelle plus-value dans le milieu de la détection ! eBPF nous a, par exemple, permis de détecter l’exploitation de Dirty Pipe (CVE-2022-0847) [1]. Mais nous observons de plus en plus d’usages offensifs. Nous pouvons citer les travaux de Guillaume Fournier déjà présentés dans les lignes de ce journal, mais nous pouvons aussi citer les travaux de Marcos Bajo autour de TripleCross [2], ainsi que les travaux autour de bad-ebpf [3]. La plupart de ces travaux reproduisent avec brio des techniques existantes en se servant d’eBPF. Dans cet article, nous allons tenter d’exposer des techniques innovantes, rendues possibles par la puissance de ce dernier. Pour ce faire, après avoir rappelé brièvement ce qu’est eBPF, nous allons tenter de nous interroger sur la plus-value d’eBPF dans les différentes étapes d’une...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[1] https://github.com/airbus-cert/dirtypipe-ebpf_detection
[2] https://github.com/h3xduck/TripleCross
[3] https://github.com/pathtofile/bad-bpf
[4] https://github.com/moxie0/knockknock
[5] https://github.com/eeriedusk/knockles
[6] https://man7.org/linux/man-pages/man3/pam_get_authtok.3.html
[7] https://github.com/iovisor/bpftrace
[10] https://elixir.bootlin.com/linux/latest/source/include/linux/mount.h#L29
