Rootkit Linuksa, który omija Elastic EDR: ujawniono osobliwość

  • Naukowcy prezentują Singularity, rootkit dla Linuksa, który potrafi ominąć Elastic EDR przy użyciu zaawansowanych technik.
  • Kluczowe strategie: zaciemnianie ciągów znaków, randomizacja symboli, fragmentacja i ładowanie pamięci oraz bezpośrednie wywołania systemowe.
  • Funkcje złośliwe: ukrywanie procesów, plików i połączeń, tylne wejście do protokołu ICMP i eskalacja uprawnień.
  • Wpływ na Europę i Hiszpanię: pilna potrzeba monitorowania integralności jądra i zastosowania dogłębnej obrony za pomocą analizy pamięci.
Isaac

4 minut

Rootkit Linuksa omijający Elastic EDR

Grupa badaczy wykazała, Rootkit Linuksa o nazwie Singularity który pozostaje niewykryty przez Elastic Security EDR, co uwydatnia istotne ograniczenia w wykrywaniu na poziomie jądra. Ten dowód koncepcji nie jest jedynie teoretyczny: Łączy w sobie techniki maskowania i unikania. aby zredukować do zera sygnały, które normalnie zdradzałyby obecność złośliwego modułu.

Odkrycie to niepokoi europejskie zespoły ds. bezpieczeństwa, w tym również w Hiszpanii, ponieważ Elastic zazwyczaj wyzwala więcej niż 26 alertów przed konwencjonalnymi rootkitami, a w tym przypadku nie zostały one aktywowane. Badania, opublikowane w celach edukacyjnych przez 0xMatheuZ, pokazują, że metody oparte na sygnaturach i wzorcach Nie wytrzymują starcia z przeciwnikami, którzy udoskonalają ich inżynierię.

Jak przechytrzyć Elastic EDR: kluczowe techniki unikania

Unikanie EDR w systemie Linux

Pierwszą zaletą Singularity jest zaciemnianie ciągów znaków w czasie kompilacjiRozdziela wrażliwe literały (np. „GPL” lub „kallsyms_lookup_name”) na ciągłe fragmenty, które kompilator C może zrozumieć. automatycznie rekomponujeuniemożliwiając skanerom takim jak YARA znalezienie ciągłych złośliwych ciągów znaków bez ograniczania funkcjonalności.

Równolegle stosuje się randomizacja nazw symboliZamiast przewidywalnych identyfikatorów, takich jak hook_getdents lub hide_module, przyjmuje ogólne znaczniki z prefiksami, które Naśladują samo jądro. (sys, kern, dev), zacierając ślady podejrzanych funkcji i łamiąc reguły wykrywania oparte na nazwach.

Następnym ruchem jest fragmentacja modułu w zaszyfrowanych fragmentach, które są ponownie składane tylko w pamięci. Fragmenty są kodowane za pomocą XOR, a program ładujący używa funkcji memfd_create, aby uniknąć pozostawiania resztek na dysku; podczas wstawiania używa bezpośrednie wywołania systemowe (w tym finit_module) przy użyciu wbudowanego asemblera, omijając opakowania libc monitorowane przez wiele EDR-ów.

Kamufluje również funkcje pomocnicze ftrace: zwykle monitorowane funkcje (takie jak fh_install_hook lub fh_remove_hook) są zmienić nazwę w sposób deterministyczny z losowymi identyfikatorami, zachowując swoje zachowanie, ale je łamiąc Elastyczne podpisy skierowane przeciwko ogólnym rootkitom.

Na poziomie behawioralnym badacze obchodzą zasady odwróconej powłoki, najpierw zapisując ładunek na dysku, a następnie wykonując go za pomocą „Czyste” wiersze poleceńCo więcej, rootkit natychmiast ukrywa uruchomione procesy, wykorzystując określone sygnały, co komplikuje korelację. między wydarzeniami a rzeczywistą działalnością.

Możliwości i zagrożenia rootkitów dla środowisk europejskich

Ryzyko związane z rootkitami w systemie Linux

Oprócz unikania, Singularity zawiera funkcje ofensywne: może ukryj procesy w /procukrywanie plików i katalogów powiązanych ze wzorcami takimi jak „singularity” lub „matheuz” oraz maskować połączenia TCP (na przykład na porcie 8081). Umożliwia również eskalację uprawnień poprzez niestandardowe sygnały lub zmienne środowiskowei oferuje tylne drzwi ICMP umożliwiające aktywację zdalnych powłok.

Projekt dodaje zabezpieczenia antyanalizowe, blokujące ślady i dezynfekcja zapisów aby zredukować szum kryminalistyczny. Program ładujący jest kompilowany statycznie i może działać w mniej monitorowanych lokalizacjach, wzmacniając łańcuch wykonywania, w którym cały moduł nigdy nie dotyka dysku W związku z tym analiza statyczna wyczerpuje materiał.

Dla organizacji w Hiszpanii i pozostałych krajach Europy, które korzystają z Elastic Defend, sprawa ta zmusza je do przejrzyj reguły wykrywania i wzmocnić monitorowanie niskiego poziomu. Połączenie zaciemniania, ładowania pamięci i bezpośrednich wywołań systemowych ujawnia obszar, na którym kontrola oparta na zachowaniu jest ograniczona. Nie przechwytują kontekstu jądra.

Zespoły SOC powinny priorytetowo traktować monitorowanie integralności jądra (na przykład walidacja LKM i zabezpieczenia przed nieautoryzowanym ładowaniem), włączenie analizy pamięci i Korelacja sygnału eBPF z telemetrią systemową i zastosuj głęboką obronę łączącą heurystykę, białe listy, utwardzanie i ciągła aktualizacja podpisów.

W środowiskach krytycznych zaleca się wzmocnienie polityk w celu zmniejszenia powierzchni ataku: ograniczenie lub wyłączenie możliwości ładowania modułów, wzmocnienie polityk bezpieczeństwa i możliwości (CAP_SYS_MODULE)Monitoruj użycie memfd_create i weryfikuj anomalie w nazwach symboli. Wszystko to bez polegania wyłącznie na EDR, ale poprzez połączenie wiele warstw kontroli i kontroli krzyżowych.

Przypadek osobliwości pokazuje, że w obliczu przeciwników, którzy doskonalą swoje zaciemnianie, obrońcy muszą ewoluować w kierunku głębsze techniki analizy i skoordynowane. Niezawodne wykrywanie zagrożeń jądra obejmuje dodanie integralności, pamięci i zaawansowanej korelacji do EDR, aby zredukować martwe pola i podnieść poprzeczkę odporności.