Neue RingReaper-Malware umgeht Linux-Sicherheitssoftware mittels io_uring-Schnittstelle

Berlin – Eine neuartige Bedrohung für Linux-Systeme ist im September 2025 aufgetaucht: die RingReaper-Malware. Eine detaillierte technische Analyse von Picus Security zeigt auf, wie dieser Post-Exploitation-Agent die moderne asynchrone E/A-Schnittstelle (io_uring) des Linux-Kernels nutzt, um Endpoint Detection and Response (EDR)-Lösungen zu umgehen.

RingReaper ist für verdeckte Operationen konzipiert. Anstatt auf konventionelle Systemaufrufe zurückzugreifen, die von Sicherheitstools häufig überwacht werden, verwendet die Malware io_uring. Diese Schnittstelle ermöglicht es der Malware, Operationen wie das Lesen von Dateien, die Verwaltung von Netzwerkverbindungen und die Identifizierung von Prozessen asynchron durchzuführen. Dadurch wird ihre Sichtbarkeit in der Systemtelemetrie reduziert und Hook-basierte Erkennungsmechanismen umgangen.

Die Analyse von Picus Security hebt verschiedene Taktiken hervor, die von RingReaper angewendet werden. Zur Entdeckung nutzt die Malware io_uring, um laufende Prozesse durch Abfragen des /proc-Dateisystems aufzulisten, aktive Netzwerkverbindungen ähnlich wie 'netstat' zu ermitteln und angemeldete Benutzer durch Analyse von /dev/pts und relevanten /proc-Einträgen zu identifizieren. Die Malware ist darüber hinaus in der Lage, Daten aus lokalen Systemdateien zu lesen, wie beispielsweise die /etc/passwd-Datei, alles über die io_uring-Schnittstelle.

Durch die Minimierung der Abhängigkeit von traditionellen Systemaufrufen reduziert RingReaper seinen Spurenbild erheblich in Systemprotokollen und den von Sicherheitsplattformen gesammelten Daten. Diese Umgehungstechnik ermöglicht es Angreifern, Informationen zu sammeln und den Zugriff innerhalb von Linux-Systemen mit geringerer Wahrscheinlichkeit, Sicherheitswarnungen auszulösen, aufrechtzuerhalten und stellt neue Herausforderungen für die Cybersicherheit dar.