Petra976/sigma_rule_for_copyfail

# Copy Fail 检测 — CVE-2026-31431 本项目是一个检测工程，专注于识别 Linux 系统上针对 **Copy Fail 本地提权漏洞 (CVE-2026-31431)** 的利用尝试。 本仓库包含一个**多层防御检测包**，旨在检测： - 公开漏洞概念验证的执行（基于 IOC）； - 以及通过 `AF_ALG + splice()` 导致页缓存损坏进行提权的行为痕迹。 ## 📌 关于 Copy Fail Copy Fail 是 2026 年 4 月披露的一个严重的 Linux 本地提权 (LPE) 漏洞。 该漏洞利用了： - `AF_ALG` 加密套接字 - `algif_aead` - `splice()` 内核内存操纵 - 页缓存损坏 来修改内存中的特权文件内容，并**在无需持久化修改磁盘数据的情况下获取 root 权限**。 由于该漏洞可以通过一个非常小的公开 PoC 进行利用，并且很容易发生变种，因此传统的**仅基于哈希的检测方式是不够的**。 创建此项目旨在提供： # 🎯 检测目标 此套件的目的是识别： - 已知公开 Copy Fail PoC 的执行； - 对 `AF_ALG` 原语的可疑使用； - 与本地漏洞利用相关的 `splice()` 滥用； - 在漏洞利用准备阶段后，SUID 二进制文件的可疑执行； - 在疑似漏洞利用活动之后发生的提权至 root 的行为。

标签：AF_ALG, Copy Fail, CVE-2026-31431, EDR, PoC检测, root权限, splice, SUID提权, Web报告查看器, 内核漏洞, 威胁检测工程, 子域名枚举, 安全渗透, 库, 应急响应, 本地提权, 漏洞利用防御, 系统安全, 脆弱性评估, 行为检测, 防御策略, 页缓存损坏