Ceifador de Anéis é uma nova família de malware que tem como alvo sistemas Linux e se destaca por sua capacidade de escapar das defesas convencionais de endpoints. Utilizando técnicas de E/S assíncronas, este agente pós-intrusão executa tarefas secretas com um impacto mínimo nos sistemas de monitoramento.
A chave para sua discrição está no uso de io_uring, uma interface de kernel moderna que permite substituir chamadas de sistema convencionais por operações assíncronas de alto desempenho, deixando soluções de EDR baseadas em ganchos e filtragem de chamadas de sistema no escuro.
O que é RingReaper e por que é importante
Identificado pelos analistas da Picus Security Como um agente de pós-exploração, o RingReaper não se concentra na intrusão inicial, mas no trabalho silencioso que se segue: reconhecimento, coleta de dados e persistência, tudo com uma abordagem metódica que complica a detecção.
O impacto vai além de um caso isolado de malware: seu sucesso demonstra uma Lacuna sistêmica em estratégias que dependem de interceptação de chamadas de sistema, uma vez que as atividades canalizadas por meio do io_uring estão em grande parte fora do escopo da telemetria tradicional.
Como o RingReaper evita a detecção com io_uring
Em vez de invocar funções típicas como read, write, recv, send o connect, RingReaper recorre a primitivos io_uring (por exemplo, io_uring_prep_*()), reduzindo o ruído de chamada de sistema e evitando ganchos EDR.
Esta substituição de caminhos de execução cria uma zona cega para ferramentas que esperam padrões síncronos e deixa menos rastros forenses, especialmente quando as operações afetam as estruturas do kernel ou o sistema de arquivos virtual /proc.
Capacidades observadas na fase pós-exploração
Durante o reconhecimento do processo (MITRE ATT&CK T1057), o RingReaper lista processos e detalhes de propriedade por meio de consultas assíncronas para /proc, emulando utilitários como ps sem disparar alertas comuns.
Para mapear usuários e sessões ativos (ATT&CK T1033), analisa /dev/pts e ingressos de /proc a fim de identificar atividade terminal e superfícies potenciais para movimento lateral ou escalada.
No inventário de conexão (ATT&CK T1049), interroga tabelas de rede do kernel e soquetes de forma assíncrona, replicando funções de netstat/ss sem recorrer a chamadas síncronas, o que reduz sua visibilidade.
Para coleta de dados (ATT&CK T1005), pode extrair informações confidenciais de arquivos como /etc/passwd sem usar ferramentas visíveis (cat, getent), e para elevar privilégios (ATT&CK T1068) automatiza a busca por binários SUID e vulnerabilidades exploráveis.
Cargas úteis e modo de operação
O operador define um diretório de trabalho ($WORKDIR) de onde você corre módulos especializados que encapsulam tarefas discretas, canalizando todas as operações por meio do io_uring para permanecerem discretas.
"$WORKDIR"/cmdMey"$WORKDIR"/executePs: enumeração de processos e metadados do sistema por meio de consultas a/proc."$WORKDIR"/netstatConnections: inventário de conexões e soquetes das tabelas de rede do kernel, alternativa furtiva anetstat."$WORKDIR"/loggedUsers: correlação de Sessões de PTS y Usuários ativos através/dev/ptsy/proc."$WORKDIR"/fileRead: leitura assíncrona de arquivos sensíveis, como/etc/passwd."$WORKDIR"/privescChecker: Verificação binária SUID e condições de escala."$WORKDIR"/selfDestruct: exclusão assíncrona de seus próprios artefatos para dificultar Análise forense.
Deve ser feita uma menção especial ao mecanismo de autopreservação: A eliminação assíncrona de binários e rastros evita monitores convencionais de operação de arquivos e verifica a limpeza dos arquivos para minimizar o espaço ocupado.
Implicações para a defesa
Arquiteturas que dependem de interceptação de chamada de sistema e os padrões de ferramentas padrão encontram lacunas notáveis: se a atividade fluir através do io_uring, grande parte do sinal esperado não chega à telemetria do EDR.
Esta abordagem marca uma ponto de inflexão no uso de interfaces de kernel legítimas para escapar do controle e antecipa uma adoção posterior por atores engenhosos em ambientes de servidor Linux e carrega para a nuvem.
Indicadores de comprometimento e estratégias de detecção
As equipes de segurança devem priorizar auditoria io_uring: chamadas como io_uring_setup ou padrões de io_uring_prep_*() em binários não padrão, especialmente se eles residem em diretórios de usuários ou caminhos temporários.
Vale a pena alertar sobre leituras anômalas de /proc, /dev/pts o /etc/passwd realizado por processos que não invocam utilitários comuns (ps, who, netstat) mas apresentam resultados equivalentes.
Outras pistas incluem enumeração de rede com baixo ruído de chamada de sistema, executáveis autoexcluíveis e sequências repetidas de módulos do mesmo $WORKDIR, correlacionados em pequenas janelas de tempo.
Como medidas de mitigação, é aconselhável fortalecer o monitoramento No tempo de execução do kernel, correlacione os comportamentos no nível do processo e, quando possível, restrinja ou desabilite o io_uring em sistemas onde ele não é essencial.
O aparecimento do RingReaper confirma que o abuso de io_uring passou da teoria para a prática: um agente pós-exploração capaz de reconhecer, coletar e se esconder com operações assíncronas, o que requer a revisão da visibilidade do EDR, a expansão da observabilidade do kernel e o ajuste dos controles no Linux para fechar as lacunas que ele explora atualmente.
