Hacker News Digest

binfmt_misc — это функция ядра Linux, позволяющая системе распознавать и выполнять файлы на основе пользовательских форматов. Она расширяет стандартные возможности Linux (обычно ELF-файлы) для запуска скриптов, бинарных файлов других архитектур или пользовательских типов. Функция создает виртуальную файловую систему в /proc/sys/fs/binfmt_misc/, где регистрируются обработчики, указывающие ядру, как распознавать файлы и какой интерпретатор использовать.

Техника "Shadow SUID" использует binfmt_misc для создания скрытой бэкдоры. Атакующий регистрирует правило с флагом "C" (credentials), при котором интерпретатор запускается с правами оригинального файла. Если этот файл setuid-root, интерпретатор получает права суперпользователя. Этот метод позволяет сохранять привилегии даже после потери первоначального доступа. Интересно, что техника не задокументирована в MITRE ATT&CK и других фреймворках безопасности, что делает её практически незаметной.

Для реализации атаки нужно: проверить наличие binfmt_misc, скомпилировать интерпретатор, найти подходящий SUID-бинарный файл (например, chfn), зарегистрировать правило с магическими байтами этого файла. Когда пользователь запускает целевой бинарный файл, ядро перенаправляет выполнение на интерпретатор с повышенными привилегиями.