#Binfmt_misc

Who Let The Dogs Out 🐾ashed@mastodon.ml
2025-11-17

#red_team #Linux #binfmt_misc

- Формирует строку регистрации для binfmt_misc с сигнатурой бинарника, путем к интерпретатору и флагом C (credentials). Флаг заставляет ядро использовать права исходного SUID-бинарника, а не права интерпретатора.

- Выполняет команду `echo <registration_string> > /proc/sys/fs/binfmt_misc/register`, связывая запуск данного SUID-бинарника с вызовом интерпретатора.

- При запуске `chfn` ядро вызывает интерпретатор с правами `root`.

Техника простая и тихая. Она обходит стандартное сканирование SUID-файлов, поскольку у самого интерпретатора нет SUID-бита, а легитимный бинарник используется лишь как прокси. Детектировать можно только мониторингом регистрации обработчиков в `/proc/sys/fs/binfmt_misc` и проверкой путей интерпретаторов.

Большой минус в том, что обработчики `binfmt_misc` не сохраняются после перезагрузки. Так что нужно подумать над дополнительным механизмом персистентности.

Подробности: dfir.ch/posts/today_i_learned_

Who Let The Dogs Out 🐾ashed@mastodon.ml
2025-11-17

Shadow SUID: скрытая эскалация привилегий через binfmt_misc в Linux

#red_team #Linux #binfmt_misc

`binfmt_misc` — функция ядра Linux, через которую регистрируются новые обработчики бинарных форматов. Она работает через виртуальную файловую систему и позволяет запускать файлы с любым форматом и подписью через указанный интерпретатор словно это нативный бинарник.

Существует малоизвестная техника Shadow SUID, заключающаяся в использовании binfmt_misc для скрытной добычи root через SUID-бинарники без изменения на них SUID-бита.

Эксплуатация:

- Атакующий проверяет, смонтирована ли виртуальная файловая система `binfmt_misc` (обычно в `/proc/sys/fs/binfmt_misc`).

- Пишет интерпретатор, вызывающий `shell` с сохранением прав, и компилирует его.
Выбирает SUID-программу с правами `root` (например, `chfn`) и извлекает магические байты для идентификации формата.

GripNewsGripNews
2025-11-10

🌘 Linux 核心中的 binfmt_misc:隱藏的後門與持久性機制
➤ 一個鮮為人知的 Linux 權限維持技巧
dfir.ch/posts/today_i_learned_
本文深入探討了 Linux 核心的 binfmt_misc 機制,揭示了它如何被用來建立隱藏的後門,以維持對系統的 root 存取權。作者透過詳細的步驟,展示瞭如何註冊一個自訂的二進位格式處理器,使其能夠在執行特定系統檔案(如 chfn)時,以 root 權限執行惡意程式碼。此技術由於不易被察覺,且開機後會失效,成為攻擊者尋求持久性存取的一個潛在方法。
+ 這是一個非常巧妙的技巧!從未想過 binfmt_misc 可以被這樣濫用。感謝作者的詳細說明。
+ 雖然這聽起來很嚇人,但瞭解這種攻擊手法對於防禦很有幫助。幸好開機後會失效。

Client Info

Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst