Originariamente progettata per ottimizzare le prestazioni dei sistemi Linux, la tecnologia eBPF (extended Berkeley Packet Filter) si è rapidamente affermata come un componente strategico in ambito di sicurezza informatica.
Versatilità, privilegi di esecuzione e verifica del codice rendono eBPF uno strumento estremamente utile per la raccolta di informazioni dettagliate in tempo reale, senza compromettere la stabilità del kernel. Tuttavia, sono proprio queste caratteristiche a renderla una tecnologia particolarmente adatta alla realizzazione di impianti malevoli, come i rootkit.
Con l’adozione crescente di eBPF in strumenti per il monitoraggio, il networking e la protezione runtime, si amplia progressivamente la superficie d’attacco disponibile e il rischio di abusi non è più teorico, ma concretamente applicabile, soprattutto in ambienti containerizzati e multi-tenant.
Il nuovo studio DFIR apre così una serie di pubblicazioni dedicate all’analisi degli abusi di eBPF in un contesto offensivo, con l’obiettivo di:
- esplorare le potenzialità malevole dei programmi eBPF;
- delineare possibili metodologie di rilevamento e mitigazione;
- presentare tecniche e strumenti utili alle attività dei gruppi DFIR e dei centri SOC per rilevare attività riconducibili a rootkit eBPF.
In questa prima pubblicazione proponiamo una panoramica teorica sugli scenari in cui l’utilizzo offensivo di eBPF offre vantaggi concreti agli attori malevoli, con riferimenti a studi accademici e malware utilizzati in attività reali.
Se desideri approfondire ecco il link al nostro studio completo.
Inoltre, puoi registrarti alla mailing list specifica Cyber Studios by Tinexta Defence, per ricevere aggiornamenti sulle prossime ricerche:
