Група истраживача је показала да Линукс руткит под називом Сингуларити што успева да остане неоткривено од стране Elastic Security EDR-а, што истиче значајна ограничења у детекцији на нивоу језгра. Овај доказ концепта није само теоретски: Комбинује технике замагљивања и избегавања. да би се смањили на нулу сигнали који би нормално одали злонамерни модул.
Ово откриће забрињава европске безбедносне тимове, укључујући и оне у Шпанији, јер Еластик обично покреће више од 26 упозорења против конвенционалних руткитова, а у овом случају нису били активирани. Истраживање, објављено у образовне сврхе од стране 0xMatheuZ-а, показује да методе засноване на потписима и обрасцима Не успевају против противника који усавршавају њихов инжењеринг.
Како надмудрити еластични EDR: кључне технике избегавања
Прва предност Сингуларности је обфускација стрингова током компајлирањаФрагментира осетљиве литерале (нпр. „GPL“ или „kallsyms_lookup_name“) у суседне делове које C компајлер може да разуме. аутоматски рекомпонујеспречавајући скенере попут YARA да проналазе континуиране злонамерне низове без жртвовања функционалности.
Паралелно се примењује рандомизација имена симболаУместо предвидљивих идентификатора као што су hook_getdents или hide_module, усваја генеричке ознаке са префиксима који Они имитирају само језгро. (sys, kern, dev), замагљујући траг сумњивих функција и разоружавајући правила детекције заснована на имену.
Следећи потез је фрагментација модула у шифрованим деловима који се поново састављају само у меморији. Фрагменти се кодирају помоћу XOR операције, а програм за учитавање користи memfd_create да би се избегло остављање остатака на диску; приликом уметања користи директни системски позиви (укључујући finit_module) користећи инлине асемблер, избегавајући libc омотаче које многи EDR-ови прате.
Такође камуфлира помоћне функције ftrace: типично праћене функције (као што су fh_install_hook или fh_remove_hook) су преименовати на детерминистички начин са случајним идентификаторима, одржавајући њихово понашање, али кршећи Еластични потписи усмерени на генеричке руткитове.
На нивоу понашања, истраживачи заобилазе правила обрнуте шкољке тако што прво записују корисни терет на диск, а затим га извршавају помоћу „Чисте“ командне линијеШтавише, руткит одмах скрива покренуте процесе користећи специфичне сигнале, што компликује корелацију. између догађаја и стварне активности.
Могућности и ризици руткита за европска окружења
Поред избегавања, Сингуларност укључује офанзивне функције: може сакриј процесе у /proc, скривање датотека и директоријума повезаних са обрасцима као што су „сингуларност“ или „матеуз“, и прикривање TCP конекција (на пример, на порту 8081). Такође омогућава ескалацију привилегија путем прилагођени сигнали или променљиве окружења, и нуди ICMP задња врата способна за активирање удаљених шкољки.
Пројекат додаје антианалитичку одбрану, блокирајући трагове и дезинфекција записа да би се смањила форензичка бука. Програм за учитавање је статички компајлиран и може да ради на мање надгледаним локацијама, појачавајући ланац извршавања у којем цео модул никада не додирује диск И стога, статичкој анализи понестаје материјала.
За организације у Шпанији и остатку Европе које се ослањају на Elastic Defend, случај их приморава да правила за откривање прегледа и ојачати праћење ниског нивоа. Комбинација обфускације, учитавања меморије и директних системских позива открива површину где су контроле засноване на понашању ограничене. Они не хватају контекст језгра.
Тимови SOC-а треба да дају приоритет праћење интегритета језгра (на пример, LKM валидација и заштита од неовлашћеног учитавања), укључите форензику меморије и Корелација сигнала eBPF са системском телеметријом и применом дубинске одбране која комбинује хеуристике, беле листе, појачавање и континуирано ажурирање потписа.
У критичним окружењима, препоручљиво је ојачати политике како би се смањила површина напада: ограничити или онемогућити могућност учитавања модула, ојачати безбедносне политике и могућности (CAP_SYS_MODULE)Праћење употребе memfd_create и валидација аномалија у именима симбола. Све ово без ослањања искључиво на EDR, већ комбиновањем више слојева контроле и унакрсне провере.
Случај Сингуларности показује да, суочени са противницима који усавршавају своје замагљивање, браниоци морају да еволуирају ка технике дубље анализе и оркестрирано. Поуздано откривање претњи језгру укључује додавање интегритета, меморије и напредне корелације EDR-у како би се смањиле слепе тачке и подигла лествица отпорности.