Linux 系统安全
查看所有标签端点检测与响应(EDR)系统在过去三年中逐步建立了基于调用栈验证(Call Stack Validation)的检测体系,用于识别直接系统调用(Direct Syscalls)等恶意行为。间接系统调用(Indirect Syscalls)技术通过跳转到 ntdll.dll 中已有的 syscall 指令来执行系统调用,使 EDR 的调用栈验证机制完全失效——从 EDR 的检测视角来看,syscall 指令确实是从合法的 ntdll.dll 内存区域发起的。本文对间接系统调用的技术原理、与直接系统调用的差异、动态 SSN 解析方法及完整执行流程进行了系统分析,并从内核态验证、模块完整性检查及遥测完整性监控三个维度提出了相应的防御建议。
关键词:间接系统调用;EDR 绕过;调用栈验证;SSN 解析;Windows 安全
OSC 8(Operating System Command 8)超链接转义序列允许终端模拟器在纯文本输出中嵌入可点击的超链接。这一设计显著增强了终端交互的可用性,但也引入了一个被广泛忽视的攻击面:攻击者可通过注入恶意的 OSC 8 序列,将终端从被动的信息显示设备转变为半主动的交互界面,使用户的单一点击行为即可触发本地资源访问或远程请求。本文对 OSC 8 协议的底层语法、跨��平台注入向量、file:// URI 的行为差异以及现有安全防御机制进行了系统性分析,并在纵深防御体系框架下评估了此类非代码执行攻击面的真实威胁等级。
关键词:OSC 8;终端安全;转义序列注入;攻击面建模;纵深防御
传统的进程注入技术——包括 CreateRemoteThread、NtCreateThreadEx 及 QueueUserAPC——均依赖于在目标进程中创建新线程或在现有线程中插入 APC 对象,这些操作均会被端点检测与响应(EDR)系统的用户态钩子所监控。本文分析一种利用 Windows 原生线程池机制实现进程注入的替代方法。该技术通过将 Shellcode 封装为线程池工作项,提交至目标进程的线程池队列中,由线程池的现有空闲线程自动执行,全程无需调用线程创建相关 API,从而规避基于线程创建监控的检测规则。本文对该技术的原理、实现约束及适用范围进行了系统分析,并从监控策略与内核级检测两个维度提出了相应的防御建议。
关键词:进程注入;线程池;EDR 绕过;Windows 安全;攻击面分析
近期,Linux 内核子系统中发现一处高危竞态条件漏洞,影响 6.x 系列内核多个版本。攻击者可利用 io_uring 与文件系统操作之间的 TOCTOU 竞态,实现本地提权。
该漏洞编号为 CVE-2026-31431(CVSS 8.8),存在于 fs/io_uring.c 中 io_closeat 与 openat 的并发执行路径。当两个线程分别对同一文件描述符执行关闭和重命名操作时,内核未正确持锁保护 inode 引用计数,可导致 use-after-free 条件。
// 简化触发路径
Thread A: io_closeat(fd) → iput(inode) → inode 引用计数归零
Thread B: renameat2(...) → inode 重绑定 → 访问已释放的 inode
竞态窗口约 3-5ms,在多核环境下可稳定复现。研究团队通过自定义 Fuzzer 在 72 小时内检测到该漏洞。
上游补丁已提交至 stable@vger.kernel.org,通过在 io_closeat 路径中增加 inode_lock 实现互斥保护。