Bir grup araştırmacı şunu gösterdi: Singularity adlı Linux rootkit'i Elastic Security EDR tarafından tespit edilemeyen bu durum, çekirdek düzeyinde tespitte önemli sınırlamaları ortaya koyuyor. Bu kavram kanıtı yalnızca teorik değil: Bulanıklaştırma ve kaçınma tekniklerini birleştirir. normalde kötü niyetli bir modülü ele verecek sinyalleri sıfıra indirmek.
Bu keşif, İspanya da dahil olmak üzere Avrupa güvenlik ekiplerini endişelendiriyor çünkü Elastic genellikle 26'dan fazla uyarıyı tetikler Geleneksel rootkit'lere karşı ve bu durumda tetiklenmediler. 0xMatheuZ tarafından eğitim amaçlı yayınlanan araştırma, imza ve desen tabanlı yöntemler Mühendisliklerini geliştiren rakiplerine karşı yetersiz kalıyorlar.
Elastik EDR'yi alt etmenin yolları: Anahtar kaçırma teknikleri
Tekilliğin ilk avantajı şudur: derleme zamanı dize karartmaHassas değişmezleri (örneğin, "GPL" veya "kallsyms_lookup_name") C derleyicisinin anlayabileceği bitişik parçalara ayırır. otomatik olarak yeniden oluştururYARA gibi tarayıcıların işlevsellikten ödün vermeden sürekli kötü amaçlı dizeleri bulmasını önler.
Paralel olarak geçerlidir sembol adlarının rastgeleleştirilmesihook_getdents veya hide_module gibi öngörülebilir tanımlayıcılar yerine, önekleri olan genel etiketleri benimser Çekirdeğin kendisini taklit ederler. (sys, kern, dev), şüpheli işlevlerin izini bulanıklaştırıyor ve isme dayalı tespit kurallarını etkisiz hale getiriyor.
Bir sonraki hamle şu: modül parçalanması Yalnızca bellekte yeniden birleştirilen şifreli parçalar halinde. Parçalar XOR ile kodlanır ve bir yükleyici, diskte kalıntı bırakmamak için memfd_create kullanır; eklerken ise doğrudan sistem çağrıları (finit_module dahil) satır içi derleyiciyi kullanarak, birçok EDR'nin izlediği libc sarmalayıcılarından kaçınıyor.
Ayrıca ftrace yardımcılarını kamufle eder: tipik olarak izlenen işlevler (fh_install_hook veya fh_remove_hook gibi) kesin bir şekilde yeniden adlandırmak rastgele tanımlayıcılarla davranışlarını koruyarak ancak bozarak Genel kök araçlarını hedefleyen elastik imzalar.
Davranışsal düzeyde, araştırmacılar ters kabuk kurallarını, önce yükü diske yazarak ve ardından onu çalıştırarak atlatıyorlar. "Temiz" komut satırlarıAyrıca rootkit, çalışan işlemleri belirli sinyaller kullanarak anında gizler ve bu da korelasyonu karmaşıklaştırır. olaylar ve gerçek aktivite arasında.
Avrupa ortamları için rootkit yetenekleri ve riskleri
Kaçmanın ötesinde, Tekillik saldırgan işlevleri de bünyesinde barındırır: /proc'daki işlemleri gizle"tekillik" veya "matheuz" gibi kalıplarla ilişkili dosyaları ve dizinleri gizlemek ve TCP bağlantılarını gizle (örneğin, 8081 numaralı bağlantı noktasında). Ayrıca, ayrıcalık yükseltmeyi de etkinleştirir özel sinyaller veya çevresel değişkenlerve uzak kabukları etkinleştirebilen bir ICMP arka kapısı sunar.
Proje, analiz karşıtı savunmalar, izlemeleri engelleme ve kayıtları dezenfekte etmek Adli gürültüyü azaltmak için. Yükleyici statik olarak derlenmiştir ve daha az izlenen konumlarda çalışabilir; bu da yürütme zincirini güçlendirir. modülün tamamı diske asla dokunmaz Ve dolayısıyla statik analizde malzeme tükeniyor.
İspanya ve Avrupa'nın geri kalanındaki Elastic Defend'e güvenen kuruluşlar için bu durum onları şu şekilde zorluyor: inceleme tespit kuralları ve düşük seviyeli izlemeyi güçlendirir. Karartma, bellek yükleme ve doğrudan sistem çağrılarının birleşimi, davranışa dayalı kontrollerin sınırlı olduğu bir yüzey ortaya çıkarır. Çekirdek bağlamını yakalayamıyorlar.
SOC ekipleri önceliklendirmeyi şu şekilde yapmalıdır: çekirdek bütünlüğü izleme (örneğin, LKM doğrulaması ve yetkisiz yüklemeye karşı korumalar), bellek adli bilimlerini ve eBPF sinyal korelasyonu sistem telemetrisi ile ve sezgisel yöntemler, beyaz listeler, güçlendirme ve imzaların sürekli güncellenmesi.
Kritik ortamlarda, saldırı yüzeyini azaltmak için politikaları güçlendirmek önerilir: modülleri yükleme yeteneğini sınırlayın veya devre dışı bırakın, güvenlik politikalarını güçlendirin ve yetenekler (CAP_SYS_MODULE)memfd_create kullanımını izleyin ve sembol adlarındaki anormallikleri doğrulayın. Tüm bunlar, yalnızca EDR'ye güvenmeden, ancak birleştirerek. çoklu kontrol katmanları ve çapraz kontroller.
Tekillik vakası, karartmada mükemmelliğe ulaşan rakiplerle karşı karşıya kalan savunucuların, daha derin analiz teknikleri ve organize edildi. Güvenilir çekirdek tehdit tespiti, kör noktaları azaltmak ve dayanıklılık çıtasını yükseltmek için EDR'ye bütünlük, bellek ve gelişmiş korelasyon eklemeyi içerir.