Linux-rootkit, joka kiertää Elastic EDR:n: Singulariteetti paljastunut

  • Tutkijat esittelevät Singularityn, Linux-rootkitin, joka pystyy ohittamaan Elastic EDR:n edistyneiden tekniikoiden avulla.
  • Keskeiset strategiat: merkkijonojen hämärtäminen, symbolien satunnaistaminen, fragmentointi ja muistin lataaminen sekä suorat järjestelmäkutsut.
  • Haittatoiminnot: prosessien, tiedostojen ja yhteyksien piilottaminen, ICMP-takaportti ja käyttöoikeuksien eskalointi.
  • Vaikutus Eurooppaan ja Espanjaan: kiireellinen tarve valvoa ytimen eheyttä ja soveltaa perusteellista puolustusta muistin forensiikan avulla.
Isaac

4 minuuttia

Linux-rootkit kiertää Elastic EDR:n

Tutkijaryhmä on osoittanut, että Linux-rootkit nimeltä Singularity ...joka jää Elastic Security EDR:n huomaamatta, mikä korostaa ydintason tunnistuksen merkittäviä rajoituksia. Tämä konseptitodistus ei ole pelkästään teoreettinen: Se yhdistää hämärtämisen ja väistötekniikat. vähentääkseen nollaan signaalit, jotka normaalisti paljastaisivat haitallisen moduulin.

Löytö huolestuttaa eurooppalaisia ​​turvallisuusryhmiä, myös Espanjassa, koska Elastic laukaisee tyypillisesti yli 26 hälytystä perinteisiä rootkit-hyökkäyksiä vastaan, ja tässä tapauksessa niitä ei ole laukaistu. 0xMatheuZ:n koulutustarkoituksiin julkaisema tutkimus osoittaa, että allekirjoitus- ja kuviopohjaiset menetelmät He jäävät jälkeen vastustajistaan, jotka hiovat heidän tekniikkaansa.

Kuinka päihittää joustava EDR:n: keskeiset väistötekniikat

EDR-väistö Linuxissa

Singulariteetin ensimmäinen etu on käännösaikainen merkkijonojen hämärrysFragmentoi arkaluontoiset literaalit (esim. "GPL" tai "kallsyms_lookup_name") yhtenäisiksi paloiksi, jotka C-kääntäjä ymmärtää. sommittelee automaattisesti uudelleenestää skannereita, kuten YARAa, löytämästä jatkuvia haitallisia merkkijonoja toiminnallisuudesta tinkimättä.

Samalla se pätee symbolien nimien satunnaistaminenEnnakoitavien tunnisteiden, kuten hook_getdentsin tai hide_modulen, sijaan se käyttää yleisiä tunnisteita etuliitteillä, jotka Ne matkivat itse ydintä. (sys, kern, dev), hämärtämällä epäilyttävien funktioiden jälkiä ja poistamalla nimiin perustuvat tunnistussäännöt käytöstä.

Seuraava siirto on moduulin pirstoutuminen salatuissa osissa, jotka kootaan uudelleen vain muistissa. Fragmentit koodataan XOR-operaatiolla ja lataaja käyttää memfd_create-funktiota välttääkseen jäämien jäänteiden jäänteitä levylle; sitä lisättäessä se käyttää suorat järjestelmäkutsut (mukaan lukien finit_module) käyttäen inline-assembleria, väistäen libc-kääreitä, joita monet EDR:t valvovat.

Se myös naamioi ftrace-apufunktiot: tyypillisesti valvotut funktiot (kuten fh_install_hook tai fh_remove_hook) ovat nimeä uudelleen deterministisellä tavalla satunnaisilla tunnisteilla, säilyttäen toimintansa mutta rikkoen Yleisiin rootkit-hyökkäyksiin kohdistuvat joustavat allekirjoitukset.

Käyttäytymisen tasolla tutkijat kiertävät käänteisen shell-säännöt kirjoittamalla ensin hyötykuorman levylle ja suorittamalla sen sitten "Puhdista" komentorivitLisäksi rootkit piilottaa käynnissä olevat prosessit välittömästi tiettyjen signaalien avulla, mikä monimutkaistaa korrelaatiota. tapahtumien ja todellisen toiminnan välillä.

Rootkit-ominaisuudet ja riskit eurooppalaisissa ympäristöissä

Rootkittien riskit Linuxissa

Väistelyn lisäksi Singulariteetti sisältää hyökkääviä toimintoja: se voi piilota prosessit /proc-hakemistoon, piilottamalla tiedostoja ja hakemistoja, jotka liittyvät malleihin, kuten "singulariteetti" tai "matheuz", ja peittää TCP-yhteydet (esimerkiksi portissa 8081). Se mahdollistaa myös oikeuksien laajentamisen mukautettuja signaaleja tai ympäristömuuttujia, ja tarjoaa ICMP-takaportin, joka pystyy aktivoimaan etäkuoria.

Projekti lisää analyysinvastaisia ​​suojauksia, estää jälkiä ja tietojen puhdistaminen rikosteknisen kohinan vähentämiseksi. Lataaja käännetään staattisesti ja voi toimia vähemmän valvotuissa paikoissa, mikä vahvistaa suoritusketjua, jossa koko moduuli ei koskaan kosketa levyä Ja siksi staattisesta analyysistä loppuu materiaali.

Espanjassa ja muualla Euroopassa toimivat organisaatiot, jotka ovat riippuvaisia ​​Elastic Defendistä, joutuvat tapauksen vuoksi tarkastelun tunnistussäännöt ja vahvistaa matalan tason valvontaa. Hämärtämisen, muistin lataamisen ja suorien järjestelmäkutsujen yhdistelmä paljastaa pinnan, jossa käyttäytymiseen perustuvat kontrollit ovat rajalliset. Ne eivät tallenna ytimen kontekstia.

SOC-tiimien tulisi priorisoida ytimen eheyden valvonta (esimerkiksi LKM-validointi ja suojaus luvattomalta lataukselta), sisällytä muistin forensiikan ja eBPF-signaalin korrelaatio järjestelmän telemetrian avulla ja soveltaa syvällistä puolustusta, joka yhdistää heuristiikkaa, valkoisia listoja, suojauksen vahvistamista ja allekirjoitusten jatkuva päivitys.

Kriittisissä ympäristöissä on suositeltavaa vahvistaa käytäntöjä hyökkäyspinnan pienentämiseksi: rajoittaa tai poistaa käytöstä moduulien latausmahdollisuutta, vahvistaa suojauskäytäntöjä ja ominaisuudet (CAP_SYS_MODULE)Valvo memfd_create-metodin käyttöä ja validoi symbolien nimien poikkeavuuksia. Kaikki tämä ilman, että turvaudutaan yksinomaan EDR:ään, vaan yhdistämällä useita hallinnan kerroksia ja ristiintarkistuksia.

Singulaarisuustapaus osoittaa, että kohdatessaan vastustajia, jotka hiovat hämärtämisensä täydellisyyteen, puolustajien on kehitettävä kohti syvemmät analyysitekniikat ja orkestroitu. Luotettava ydinuhkien tunnistus edellyttää EDR:n eheyden, muistin ja edistyneen korrelaation lisäämistä sokeiden pisteiden vähentämiseksi ja sietokyvyn riman nostamiseksi.