Детектирование атак на контейнеры с помощью eBPF
Привет, Хабр!
Меня зовут Илья Зимин, я аналитик-исследователь угроз в компании R-Vision. Сегодня в статье я расскажу о возможностях обнаружения атак на контейнеризированные приложения с помощью такого инструмента, как eBPF, на примере приемов, связанных с побегом из Docker-контейнеров на Linux-системах.
eBPF (extended Berkeley Packet Filter) — это технология, которая предоставляет программный интерфейс в ядре Linux для обработки его событий в режиме реального времени. Он позволяет загружать и выполнять пользовательские программы в ядре без необходимости модификации самого ядра. Программы выполняются в виртуальной машине, что не позволяет ошибке в пользовательской программе повлиять на всю систему.
Используя возможности eBPF, мы можем отслеживать любое (или почти любое) взаимодействие в системе на уровне ядра, "присоединяясь" к вызовам системных функций, и получать информацию о них: контекст, аргументы, выходные значения и другие. Также на уровне пользователя можно добавить дополнительную логику для обработки этих данных.
Читать далееИсточник: Хабрахабр
Похожие новости
- Трендовые уязвимости первой половины 2025 года
- RID Hijacking
- «Швейцарский нож» хакера: как появился и устарел (?) Metasploit Framework
- Вызовы при построении архитектуры безопасности Цифрового рубля
- Кража NFT-подарков в Telegram: механизмы, инструменты и рекомендации по защите
- Поиск человека по фото: как найти информацию о человеке по одной фотографии
- 69,5 млрд тенге в digital: что происходит с медиарынком Казахстана в 2025 году
- Легитимный язык в руках злоумышленников: декомпиляция ВПО на AutoIt
- Как мыслит дизассемблер: внутренняя логика decompiler-инструментов на примере Ghidra и RetDec
- Как мы автоматизируем рекрутинг с помощью ИИ