Linux rootkit koji izbjegava Elastic EDR: Singularnost otkrivena

  • Istraživači predstavljaju Singularity, Linux rootkit sposoban za zaobilaženje Elastic EDR-a korištenjem naprednih tehnika.
  • Ključne strategije: obfusacija stringova, randomizacija simbola, fragmentacija i učitavanje memorije i direktni sistemski pozivi.
  • Zlonamjerne funkcije: skrivanje procesa, datoteka i veza, ICMP backdoor i eskalacija privilegija.
  • Uticaj na Evropu i Španiju: hitna potreba za praćenjem integriteta kernela i primjenom dubinske odbrane uz forenziku memorije.
Isaac

4 minuta

Linux rootkit izbjegava Elastic EDR

Grupa istraživača je pokazala da Linuxov rootkit pod nazivom Singularity što uspijeva proći neotkriveno od strane Elastic Security EDR-a, što ističe značajna ograničenja u detekciji na nivou kernela. Ovaj dokaz koncepta nije samo teoretski: Kombinuje tehnike zamagljivanja i izbjegavanja. kako bi se smanjili na nulu signali koji bi inače odali zlonamjerni modul.

Otkriće zabrinjava evropske sigurnosne timove, uključujući i one u Španiji, jer Elastic obično aktivira više od 26 upozorenja protiv konvencionalnih rootkitova, a u ovom slučaju nisu aktivirani. Istraživanje, koje je u obrazovne svrhe objavio 0xMatheuZ, pokazuje da metode zasnovane na potpisima i obrascima Ne uspijevaju se suočiti s protivnicima koji usavršavaju njihov inženjering.

Kako nadmudriti elastični EDR: ključne tehnike izbjegavanja

Izbjegavanje EDR-a u Linuxu

Prva prednost Singularnosti je obfuskacija stringova tokom kompajliranjaFragmentira osjetljive literale (npr. "GPL" ili "kallsyms_lookup_name") u susjedne dijelove koje C kompajler može razumjeti. automatski rekomponujesprečavajući skenere poput YARA da pronađu kontinuirane zlonamjerne nizove bez žrtvovanja funkcionalnosti.

Paralelno se primjenjuje randomizacija imena simbolaUmjesto predvidljivih identifikatora poput hook_getdents ili hide_module, usvaja generičke oznake s prefiksima koji Oni imitiraju samu kernel. (sys, kern, dev), zamagljujući trag sumnjivih funkcija i onesposobljavajući pravila detekcije zasnovana na imenu.

Sljedeći potez je fragmentacija modula u šifriranim dijelovima koji se ponovo sastavljaju samo u memoriji. Fragmenti se kodiraju pomoću XOR-a, a program za učitavanje koristi memfd_create kako bi se izbjeglo ostavljanje ostataka na disku; prilikom umetanja koristi direktni sistemski pozivi (uključujući finit_module) korištenjem inline asemblera, izbjegavajući libc omotače koje mnogi EDR-ovi prate.

Također kamuflira pomoćne funkcije ftrace-a: tipično nadzirane funkcije (kao što su fh_install_hook ili fh_remove_hook) su preimenovati na deterministički način sa slučajnim identifikatorima, održavajući njihovo ponašanje, ali prekidajući Elastični potpisi usmjereni na generičke rootkitove.

Na nivou ponašanja, istraživači zaobilaze pravila obrnutog shell-a tako što prvo zapisuju korisni sadržaj na disk, a zatim ga izvršavaju pomoću "Čiste" komandne linijeNadalje, rootkit odmah skriva pokrenute procese koristeći specifične signale, što otežava korelaciju. između događaja i stvarne aktivnosti.

Mogućnosti i rizici rootkita za evropska okruženja

Rizici rootkitova u Linuxu

Pored izbjegavanja, Singularnost uključuje i ofanzivne funkcije: može sakrij procese u /proc, skrivanje datoteka i direktorija povezanih s uzorcima kao što su "singularnost" ili "matheuz", i prikrivanje TCP konekcija (na primjer, na portu 8081). Također omogućava eskalaciju privilegija putem prilagođeni signali ili varijable okruženja, i nudi ICMP backdoor sposoban za aktiviranje udaljenih ljuski.

Projekat dodaje antianalitičku odbranu, blokiranje tragova i čišćenje zapisa kako bi se smanjila forenzička buka. Program za učitavanje je statički kompajliran i može raditi na manje nadziranim lokacijama, pojačavajući lanac izvršavanja u kojem Cijeli modul nikada ne dodiruje disk I stoga, statičkoj analizi ponestaje materijala.

Za organizacije u Španiji i ostatku Evrope koje se oslanjaju na Elastic Defend, slučaj ih prisiljava da pravila za otkrivanje pregleda i ojačati praćenje niskog nivoa. Kombinacija obfuskacije, učitavanja memorije i direktnih sistemskih poziva otkriva površinu gdje su kontrole zasnovane na ponašanju ograničene. Ne hvataju kontekst kernela.

SOC timovi bi trebali dati prioritet praćenje integriteta kernela (na primjer, LKM validacija i zaštita od neovlaštenog učitavanja), uključiti forenziku memorije i Korelacija signala eBPF-a sa sistemskom telemetrijom i primijeniti dubinsku odbranu koja kombinira heuristike, bijele liste, ojačavanje i kontinuirano ažuriranje potpisa.

U kritičnim okruženjima, preporučljivo je ojačati politike kako bi se smanjila površina napada: ograničiti ili onemogućiti mogućnost učitavanja modula, ojačati sigurnosne politike i mogućnosti (CAP_SYS_MODULE)Pratiti korištenje memfd_create i validirati anomalije u nazivima simbola. Sve ovo bez oslanjanja isključivo na EDR, već kombinovanjem više slojeva kontrole i unakrsne provjere.

Slučaj Singularnosti pokazuje da se, suočeni s protivnicima koji usavršavaju svoje zamagljivanje, branitelji moraju razvijati prema tehnike dublje analize i orkestrirano. Pouzdano otkrivanje prijetnji kernelu uključuje dodavanje integriteta, memorije i napredne korelacije EDR-u kako bi se smanjile slijepe tačke i podigla ljestvica otpornosti.