Today I Learned: Binfmt_misc
7 months ago
- #Linux
- #Privilege Escalation
- #Security
- binfmt_misc是Linux内核的一项功能,允许通过注册自定义处理程序来执行非原生二进制格式。
- 其工作原理是通过识别文件魔数字节或扩展名来调用指定解释器,并通过/proc/sys/fs/binfmt_misc文件系统进行管理。
- 安全风险在于攻击者可利用binfmt_misc劫持SUID二进制文件创建后门,无需传统SUID标记即可实现权限提升。
- 检测难度较高因其痕迹极少,建议重点监控/proc/sys/fs/binfmt_misc目录中的新处理程序。
- 该技术具有临时性(除非建立持久化机制),系统重启时会产生检测机会。