Falco项目中Drop and execute规则在EKS 1.29上的现代eBPF驱动问题解析

在容器安全监控领域，Falco作为一款开源的运行时安全工具，其规则引擎能够检测容器中的异常行为。近期发现一个特定场景下的规则失效问题：当Falco使用modern_ebpf驱动在Amazon EKS 1.29环境中运行时，"Drop and execute new binary in container"规则无法正常触发。

问题现象

该安全规则设计用于检测容器中执行非基础镜像包含的二进制文件的行为，是容器安全防护的重要防线。在特定环境下，管理员发现即使执行了明显可疑行为（如复制系统二进制文件并执行），Falco也没有产生预期的告警。

经过测试确认，问题具有以下特征：

1. 仅在EKS 1.29环境使用modern_ebpf驱动时出现
2. 使用传统ebpf驱动时功能正常
3. 在其他云平台如AKS上使用modern_ebpf驱动时也表现正常
4. 内核版本为5.10.219-208.866.amzn2.x86_64

技术背景

modern_ebpf是Falco项目推出的新一代eBPF探针驱动，相比传统ebpf驱动具有更好的性能和兼容性。eBPF技术允许在内核空间安全地执行程序，实现对系统调用的高效监控。

在容器安全场景中，检测新二进制文件的执行至关重要。攻击者常通过植入恶意二进制或脚本实现持久化攻击，因此这类规则的可靠性直接影响安全防护效果。

问题根源

经过Falco开发团队分析，问题出在modern_ebpf驱动对"exe_upper_layer"功能的实现上。该功能负责判断执行的二进制文件是否位于容器镜像的可写层（upper layer），这是检测非基础镜像文件的关键机制。

在特定内核版本和环境下，modern_ebpf驱动未能正确捕获相关事件，导致规则引擎无法获取必要的信息进行判断。相比之下，传统ebpf驱动使用了不同的实现方式，因此不受此问题影响。

解决方案

Falco团队在libs项目中对exe_upper_layer功能进行了重新实现，修复了modern_ebpf驱动在此场景下的行为。该修复已随Falco 0.38.2版本发布。

验证结果表明：

1. 在EC2和GCP环境测试通过
2. 支持kmod和modern_ebpf两种驱动模式
3. 能够正确检测非基础镜像二进制文件的执行

最佳实践建议

对于使用Falco的安全团队，建议：

1. 及时升级到0.38.2或更高版本
2. 在EKS环境中部署前进行充分验证
3. 定期测试关键安全规则的触发情况
4. 根据环境特点选择合适的驱动模式

该问题的解决体现了开源社区响应安全问题的效率，也提醒我们在采用新技术时需要关注特定环境下的兼容性问题。通过持续优化和验证，Falco为容器安全提供了更可靠的保障。