kadir/copy-fail-CVE-2026-31431-IOC

# copyfail-detect CVE-2026-31431 ("Copy Fail") 检测工具包，这是一种 Linux 内核本地 权限提升技术，可在不更改磁盘上文件的情况下损坏页缓存数据。 ## 为什么需要这个工具 Copy Fail 可以绕过传统的文件完整性监控，因为磁盘上的文件并未被修改。本仓库使用 auditd、eBPF、页缓存比较、Sigma 规则和响应人员文档提供了多层检测方案。 eBPF 监控器是保真度最高的检测器：它监视 AF_ALG 活动，提取 `authencesn` 绑定尝试，跟踪可疑的 `splice()` 使用情况，并将这些事件关联起来生成高可信度的漏洞利用链警报。 ## 快速开始 检查是否存在风险暴露的内核加密接口： ``` python3 check/is_vulnerable.py ``` 应用即时缓解措施： ``` sudo bash mitigate/disable_algif_aead.sh ``` 部署 auditd 检测规则： ``` sudo cp detect/auditd/copyfail.rules /etc/audit/rules.d/ sudo augenrules --load sudo ausearch -k copyfail_af_alg ``` 运行实时 eBPF 监控器： ``` sudo python3 detect/ebpf/copyfail_monitor.py sudo python3 detect/ebpf/copyfail_monitor.py --json ``` 在怀疑遭到利用后检查页缓存篡改情况： ``` sudo python3 detect/pagecache-check/pagecache_diff.py ``` ## 检测层 | 层级 | 捕获内容 | 时机 | 工具 | |---|---|---|---| | eBPF 监控器 | AF_ALG、`authencesn`、`splice()`、漏洞利用链关联 | 攻击利用期间 | bcc/bpftrace | | Auditd 规则 | AF_ALG 套接字创建、可疑系统调用、敏感文件读取 | 攻击利用期间 | auditd | | 页缓存差异对比 | 内存中的文件数据与磁盘不一致 | 攻击利用之后 | Python | | Sigma 规则 | 来自 audit/syslog 遥测数据的 SIEM 警报 | 攻击利用期间/之后 | SIEM | | IOC 文档 | 响应人员检查清单和 YARA 规则 | 调查阶段 | docs | ## 仓库结构 ``` check/ Safe exposure and sentinel checks detect/auditd/ auditd rules and deployment notes detect/ebpf/ bcc and bpftrace real-time monitors detect/pagecache-check/ Page-cache vs disk comparison detect/sigma/ Sigma rules for SIEMs docs/ Detection, IOC, architecture, and forensics guides mitigate/ Local and Ansible mitigation helpers tests/ Syntax and unit tests ``` ## 安全提示 漏洞检查程序仅使用临时标记文件，绝不针对系统文件。页缓存差异对比工具属于检测性质，可能会驱逐其正在检查的已损坏页面；如果您需要取证证据，请先保存内存。 ## 参考 - 研究与漏洞披露致谢：Theori / Xint Code - 披露信息：https://copy.fail/ - 技术分析文章：https://xint.io/blog/copy-fail-linux-distributions - CVE：CVE-2026-31431 - 内核修复：提交 `a664bf3d603d` - Theori PoC：https://github.com/theori-io/copy-fail-CVE-2026-31431 ## 致谢 感谢 Theori 和 Xint Code 发现、分析并负责任地披露了 Copy Fail。本仓库基于他们的公开研究构建，旨在帮助防御人员能够安全地检测、缓解和调查 CVE-2026-31431。

标签：AF_ALG, AMSI绕过, auditd, BCC, bpftrace, Copy Fail, CVE-2026-31431, DNS信息、DNS暴力破解, DNS 解析, Docker镜像, IOC, Page Cache, Sigma规则, splice, Web报告查看器, YARA规则, 内存篡改, 内核密码学, 内核漏洞, 威胁检测, 子域名变形, 子域名枚举, 安全工具包, 库, 应急响应, 应用安全, 指标集, 本地提权, 漏洞缓解, 目标导入, 系统安全, 系统提示词, 逆向工具, 页缓存