#red_team #Linux #binfmt_misc

- Формирует строку регистрации для binfmt_misc с сигнатурой бинарника, путем к интерпретатору и флагом C (credentials). Флаг заставляет ядро использовать права исходного SUID-бинарника, а не права интерпретатора.

- Выполняет команду `echo <registration_string> > /proc/sys/fs/binfmt_misc/register`, связывая запуск данного SUID-бинарника с вызовом интерпретатора.

- При запуске `chfn` ядро вызывает интерпретатор с правами `root`.

Техника простая и тихая. Она обходит стандартное сканирование SUID-файлов, поскольку у самого интерпретатора нет SUID-бита, а легитимный бинарник используется лишь как прокси. Детектировать можно только мониторингом регистрации обработчиков в `/proc/sys/fs/binfmt_misc` и проверкой путей интерпретаторов.

Большой минус в том, что обработчики `binfmt_misc` не сохраняются после перезагрузки. Так что нужно подумать над дополнительным механизмом персистентности.

Подробности: https://dfir.ch/posts/today_i_learned_binfmt_misc/

Shadow SUID: скрытая эскалация привилегий через binfmt_misc в Linux

#red_team #Linux #binfmt_misc

`binfmt_misc` — функция ядра Linux, через которую регистрируются новые обработчики бинарных форматов. Она работает через виртуальную файловую систему и позволяет запускать файлы с любым форматом и подписью через указанный интерпретатор словно это нативный бинарник.

Существует малоизвестная техника Shadow SUID, заключающаяся в использовании binfmt_misc для скрытной добычи root через SUID-бинарники без изменения на них SUID-бита.

Эксплуатация:

- Атакующий проверяет, смонтирована ли виртуальная файловая система `binfmt_misc` (обычно в `/proc/sys/fs/binfmt_misc`).

- Пишет интерпретатор, вызывающий `shell` с сохранением прав, и компилирует его.
Выбирает SUID-программу с правами `root` (например, `chfn`) и извлекает магические байты для идентификации формата.

Today I Learned: Binfmt_misc

https://dfir.ch/posts/today_i_learned_binfmt_misc/

#HackerNews #Today #I #Learned #Binfmt_misc #Technology #Linux #Learning #Filesystem

🌘 Linux 核心中的 binfmt_misc：隱藏的後門與持久性機制
➤ 一個鮮為人知的 Linux 權限維持技巧
✤ https://dfir.ch/posts/today_i_learned_binfmt_misc/
本文深入探討了 Linux 核心的 binfmt_misc 機制，揭示了它如何被用來建立隱藏的後門，以維持對系統的 root 存取權。作者透過詳細的步驟，展示瞭如何註冊一個自訂的二進位格式處理器，使其能夠在執行特定系統檔案（如 chfn）時，以 root 權限執行惡意程式碼。此技術由於不易被察覺，且開機後會失效，成為攻擊者尋求持久性存取的一個潛在方法。
+ 這是一個非常巧妙的技巧！從未想過 binfmt_misc 可以被這樣濫用。感謝作者的詳細說明。
+ 雖然這聽起來很嚇人，但瞭解這種攻擊手法對於防禦很有幫助。幸好開機後會失效。
#Linux #資安 #後門 #binfmt_misc

Binfmtc – binfmt_misc C scripting interface

https://www.netfort.gr.jp/~dancer/software/binfmtc.html.en

#HackerNews #Binfmtc #binfmt_misc #C #interface #scripting #technology #programming