Linux rootkit koji izbjegava Elastic EDR: Singularnost otkrivena

  • Istraživači predstavljaju Singularity, Linux rootkit sposoban zaobići Elastic EDR koristeći napredne tehnike.
  • Ključne strategije: maskiranje stringova, randomizacija simbola, fragmentacija i učitavanje memorije te izravni sistemski pozivi.
  • Zlonamjerne funkcije: skrivanje procesa, datoteka i veza, ICMP backdoor i eskalacija privilegija.
  • Utjecaj na Europu i Španjolsku: hitna potreba za praćenjem integriteta jezgre i primjenom dubinske obrane s forenzikom memorije.
Isaac

4 minuta

Linux rootkit izbjegava Elastic EDR

Grupa istraživača je pokazala Linux rootkit pod nazivom Singularity što Elastic Security EDR uspijeva neotkriti, što ističe značajna ograničenja u detekciji na razini jezgre. Ovaj dokaz koncepta nije samo teoretski: Kombinira tehnike zamagljivanja i izbjegavanja. kako bi se smanjili na nulu signali koji bi inače odali zlonamjerni modul.

Otkriće zabrinjava europske sigurnosne timove, uključujući i one u Španjolskoj, jer Elastic obično pokreće više od 26 upozorenja protiv konvencionalnih rootkitova, a u ovom slučaju nisu aktivirani. Istraživanje, koje je u obrazovne svrhe objavio 0xMatheuZ, pokazuje da metode temeljene na potpisima i uzorcima Ne uspijevaju se suočiti s protivnicima koji usavršavaju njihovo inženjerstvo.

Kako nadmudriti elastični EDR: ključne tehnike izbjegavanja

Izbjegavanje EDR-a u Linuxu

Prva prednost singularnosti je obfuskacija stringova tijekom kompajliranjaFragmentira osjetljive literale (npr. "GPL" ili "kallsyms_lookup_name") u susjedne dijelove koje C kompajler može razumjeti. automatski rekomponirasprječavajući skenere poput YARA-e da pronađu kontinuirane zlonamjerne nizove bez žrtvovanja funkcionalnosti.

Paralelno se primjenjuje randomizacija imena simbolaUmjesto predvidljivih identifikatora poput hook_getdents ili hide_module, usvaja generičke oznake s prefiksima koji Oni oponašaju samu jezgru. (sys, kern, dev), zamagljujući trag sumnjivih funkcija i onesposobljavajući pravila detekcije temeljena na imenu.

Sljedeći potez je fragmentacija modula u šifriranim dijelovima koji se ponovno sastavljaju samo u memoriji. Fragmenti se kodiraju XOR-om, a program za učitavanje koristi memfd_create kako bi izbjegao ostavljanje ostataka na disku; prilikom umetanja koristi izravni sistemski pozivi (uključujući finit_module) korištenjem inline asemblera, izbjegavajući libc omotače koje mnogi EDR-ovi prate.

Također kamuflira pomoćne funkcije ftrace-a: tipično nadzirane funkcije (kao što su fh_install_hook ili fh_remove_hook) su preimenovati na deterministički način sa slučajnim identifikatorima, održavajući njihovo ponašanje, ali prekidajući Elastični potpisi usmjereni na generičke rootkitove.

Na razini ponašanja, istraživači zaobilaze pravila obrnute ljuske tako što prvo zapisuju korisni sadržaj na disk, a zatim ga izvršavaju s "Čiste" naredbene linijeNadalje, rootkit odmah skriva pokrenute procese koristeći specifične signale, što komplicira korelaciju. između događaja i stvarne aktivnosti.

Mogućnosti i rizici rootkita za europska okruženja

Rizici rootkitova u Linuxu

Osim izbjegavanja, Singularnost uključuje i ofenzivne funkcije: može sakrij procese u /proc, skrivanje datoteka i direktorija povezanih s uzorcima kao što su "singularnost" ili "matheuz" i prikrivanje TCP veza (na primjer, na portu 8081). Također omogućuje eskalaciju privilegija putem prilagođeni signali ili varijable okoline, i nudi ICMP backdoor sposoban za aktiviranje udaljenih ljuski.

Projekt dodaje obranu od analize, blokirajući tragove i čišćenje zapisa kako bi se smanjila forenzička buka. Učitavač je statički kompiliran i može raditi na manje nadziranim lokacijama, pojačavajući lanac izvršavanja u kojem cijeli modul nikada ne dodiruje disk I stoga, statičkoj analizi ponestaje materijala.

Za organizacije u Španjolskoj i ostatku Europe koje se oslanjaju na Elastic Defend, slučaj ih prisiljava da pravila za otkrivanje pregleda i ojačati nadzor niske razine. Kombinacija obfuskacije, učitavanja memorije i izravnih sistemskih poziva otkriva površinu gdje su kontrole temeljene na ponašanju ograničene. Ne hvataju kontekst kernela.

SOC timovi trebali bi dati prioritet praćenje integriteta jezgre (na primjer, LKM validacija i zaštita od neovlaštenog učitavanja), uključiti forenziku memorije i Korelacija signala eBPF-a sa sistemskom telemetrijom i primijeniti dubinsku obranu koja kombinira heuristike, bijele liste, pojačavanje i kontinuirano ažuriranje potpisa.

U kritičnim okruženjima preporučljivo je ojačati politike kako bi se smanjila površina napada: ograničiti ili onemogućiti mogućnost učitavanja modula, pojačati sigurnosne politike i mogućnosti (CAP_SYS_MODULE)Pratiti korištenje memfd_create i validirati anomalije u nazivima simbola. Sve to bez oslanjanja isključivo na EDR, već kombiniranjem više slojeva kontrole i unakrsne provjere.

Slučaj Singularnosti pokazuje da se, suočeni s protivnicima koji usavršavaju svoje zamagljivanje, branitelji moraju razvijati prema tehnike dublje analize i orkestrirano. Pouzdano otkrivanje prijetnji kernelu uključuje dodavanje integriteta, memorije i napredne korelacije EDR-u kako bi se smanjile slijepe točke i podigla ljestvica otpornosti.