Ld_preload, the Invisible Key Theft
7 months ago
- #Solana
- #LD_PRELOAD
- #Security
- LD_PRELOAD是一个环境变量,允许在程序启动前加载共享库,从而拦截文件操作。
- 该漏洞影响所有从文件加载凭证的应用程序(不仅限于Solana),存在内部威胁风险。
- 攻击者可通过挂钩close()等文件操作函数,在无感知情况下复制敏感文件(如Solana密钥对)。
- 两种攻击方式:LD_PRELOAD(无需root权限)和/etc/ld.so.preload(需root但影响所有进程)。
- 容器环境同样脆弱,因攻击在容器命名空间内进行,绕过了隔离机制。
- 攻击手法简单,利用/proc/self/fd/{fd}等合法功能实现静默数据窃取。
- EDR解决方案可能漏检,因为验证器的文件访问行为看起来是正常的。