Rootkits de Kernel Cegam Ferramentas eBPF e Comprometem a Observabilidade do Sistema

Pesquisas recentes demonstraram que rootkits de kernel podem sistematicamente cegar ferramentas de segurança baseadas em eBPF. Isso ocorre ao usar ftrace para 'enganchar' os mecanismos de entrega de dados, como BPF iterators, ring buffers, perf events e operações de map, em vez de atacar os próprios programas eBPF diretamente. O rootkit Singularity, por exemplo, filtra seletivamente processos e conexões de rede ocultos na fronteira entre o kernel e o userspace, levando as ferramentas de segurança a operar com uma visão fabricada do estado do sistema, enquanto acreditam ter visibilidade completa.

Essas descobertas ressaltam que a observabilidade eBPF pressupõe um kernel confiável. Os defensores devem, portanto, priorizar a prevenção de comprometimento do kernel através de medidas como Secure Boot, enforce de módulos assinados e detecção em camadas out-of-host, em vez de depender exclusivamente da telemetria em nível de kernel. ️