--- title: "Sua rede em perigo: Nova técnica de rootkit para Linux usa 'io_uring' para ficar invisível" author: "Gabriela P. Torres" date: "2025-09-17 08:41:00-03" category: "Tecnologia & Desenvolvimento" url: "http://desbugados.scale.press/portal/desbugados/post/2025/09/17/sua-rede-em-perigo-nova-tecnica-de-rootkit-para-linux-usa-iouring-para-ficar-invisivel/md" --- # Uma Nova Sombra no Linux: O Rootkit que Ninguém Vê Pesquisadores de segurança da ARMO acabam de colocar um holofote sobre uma verdade inconveniente para o universo Linux: existe uma maneira de operar nas sombras, completamente invisível para as ferramentas de segurança que deveriam proteger o sistema. A equipe desenvolveu um rootkit de prova de conceito, batizado de 'Curing', que explora uma interface legítima do kernel chamada **io_uring** para executar ações maliciosas sem disparar um único alarme. Ferramentas populares como Falco e até o Microsoft Defender for Endpoint no Linux se mostraram completamente cegas à ameaça, levantando um questionamento lógico e brutal: se o seu sistema de segurança monitora apenas as portas da frente, o que acontece quando o invasor decide usar a janela? ## O Plano Perfeito: Como o 'io_uring' Engana a Vigilância? Para entender a genialidade (e o perigo) desta técnica, precisamos aplicar um pouco de lógica. **Se** uma ferramenta de segurança baseia sua detecção no monitoramento de chamadas de sistema (syscalls), **então** qualquer atividade que não gere uma syscall tradicional será, por definição, invisível. Acontece que a interface io_uring, introduzida no kernel Linux 5.1 para otimizar operações de entrada e saída (I/O) de forma assíncrona, funciona exatamente nesse ponto cego. De acordo com a pesquisa da ARMO, em vez de fazer chamadas diretas que os vigilantes eletrônicos conseguem interceptar, o io_uring utiliza buffers de anel compartilhados entre o espaço do usuário e o kernel para se comunicar. É uma via expressa de comunicação que contorna o pedágio da monitorização convencional. Embora o potencial de evasão do io_uring já tivesse sido demonstrado em 2022 por Daniel Teixeira, o trabalho da ARMO é o primeiro a criar um rootkit totalmente funcional para provar a ameaça na prática. Com 61 operações diferentes suportadas, incluindo funções críticas de rede e sistema de arquivos, essa interface se tornou um playground perfeito para atividades furtivas. ## Teste de Fogo: O Rootkit 'Curing' em Ação A prova de conceito 'Curing' não foi apenas um exercício teórico. Os pesquisadores da ARMO colocaram o rootkit para trabalhar e os resultados foram, no mínimo, alarmantes. A ferramenta demonstrou ter funcionalidade completa de comando e controle sem realizar uma única chamada de sistema tradicional que os monitores de segurança esperam ver. Os testes revelaram que soluções de mercado amplamente utilizadas eram vulneráveis: **Falco:** Um projeto graduado da CNCF e um padrão de fato para monitoramento de tempo de execução, foi completamente ineficaz. Seus mantenedores já reconheceram o problema e buscam soluções.**Microsoft Defender for Endpoint on Linux:** Também apresentou os mesmos pontos cegos. O rootkit conseguiu acessar arquivos sensíveis, implantar malware e até executar operações de mineração de criptomoedas sem ser detectado. A única parte do Defender que percebeu algo, segundo os pesquisadores, foi o módulo de Monitoramento de Integridade de Arquivos, provavelmente por usar um método de gancho diferente (Fanotify).A conclusão é simples: se a sua estratégia de segurança depende dessas ferramentas para detectar esse tipo de ameaça, o resultado da verificação é *falso*. Você não está protegido. ## O Paradoxo do eBPF: Rápido, Moderno, mas Cego? A pesquisa expõe uma limitação fundamental nas abordagens de segurança baseadas em eBPF, a tecnologia que muitos fornecedores adotaram por sua performance e segurança. O relatório da ARMO aponta que, por conveniência e simplicidade, muitos desenvolvedores de ferramentas de segurança usam o eBPF para se conectar diretamente às chamadas de sistema. É uma abordagem que oferece visibilidade rápida, mas que parte de uma premissa perigosa: a de que todas as operações relevantes para a segurança passarão, invariavelmente, por uma syscall. O bypass via io_uring prova que essa premissa é, agora, obsoleta. Conforme as interfaces do kernel evoluem com novos mecanismos assíncronos e otimizações de desempenho, as ferramentas de segurança que não se adaptam ficarão para trás, protegendo apenas contra as ameaças de ontem. ## Então, Acabou? Como Corrigir Essa Brecha? Felizmente, nem tudo está perdido. Os pesquisadores da ARMO não apenas apontaram o problema, mas também identificaram possíveis soluções. A mais promissora a longo prazo é a implementação do **KRSI (Kernel Runtime Security Instrumentation)**. O KRSI se baseia na estrutura dos Módulos de Segurança do Linux (LSM) para fornecer uma cobertura mais confiável, usando ganchos (hooks) em um nível mais profundo do que a simples monitorização de syscalls. É a evolução natural da segurança no Linux, algo análogo ao que a Microsoft fez no Windows ao migrar para rotinas de notificação estruturadas. Outras estratégias incluem o monitoramento de padrões de uso anômalos do próprio io_uring, embora isso possa gerar falsos positivos. A mensagem final da pesquisa é um alerta para todo o ecossistema de cibersegurança, especialmente no mundo de contêineres e infraestrutura em nuvem, onde o Linux é a base de tudo. As soluções de segurança precisam ser compatíveis com o futuro do kernel, não apenas com o seu passado, ou deixarão brechas cada vez maiores na proteção de dados e sistemas críticos.