Rootkit Linux care evită Elastic EDR: Singularity expusă

  • Cercetătorii prezintă Singularity, un rootkit Linux capabil să ocolească Elastic EDR folosind tehnici avansate.
  • Strategii cheie: ofuscarea șirurilor de caractere, randomizarea simbolurilor, fragmentarea și încărcarea memoriei și apeluri de sistem directe.
  • Funcții rău intenționate: ascunderea proceselor, fișierelor și conexiunilor, backdoor ICMP și escaladarea privilegiilor.
  • Impact asupra Europei și Spaniei: nevoie urgentă de monitorizare a integrității kernelului și de aplicare a unei apărări aprofundate cu ajutorul analizei criminalistice a memoriei.
Isaac

Minute 4

Rootkit Linux care ocolește Elastic EDR

Un grup de cercetători a arătat o Rootkit-ul Linux numit Singularity care reușește să treacă nedetectat de Elastic Security EDR, evidențiind limitări semnificative în detectarea la nivel de kernel. Această demonstrație a conceptului nu este doar teoretică: Combină tehnici de ofuscare și evaziune. pentru a reduce la zero semnalele care în mod normal ar trăda un modul malițios.

Descoperirea îngrijorează echipele de securitate europene, inclusiv cele din Spania, deoarece Elastic declanșează de obicei mai mult de 26 de alerte împotriva rootkit-urilor convenționale și, în acest caz, acestea nu au fost declanșate. Cercetarea, publicată în scop educațional de 0xMatheuZ, arată că metode bazate pe semnături și modele Ei dau greș în fața adversarilor care le perfecționează ingineria.

Cum să păcălești Elastic EDR: tehnici cheie de evitare a defecțiunilor

Evitarea EDR în Linux

Primul avantaj al singularității este ofuscarea șirurilor de caractere în timpul compilăriiFragmentează literalii sensibili (de exemplu, „GPL” sau „kallsyms_lookup_name”) în bucăți continue pe care compilatorul C le poate înțelege. se recompune automatîmpiedicând scanere precum YARA să găsească șiruri de caractere malițioase continue fără a sacrifica funcționalitatea.

În paralel, se aplică randomizarea numelor simbolurilorÎn loc de identificatori previzibili precum hook_getdents sau hide_module, adoptă etichete generice cu prefixe care Acestea imită nucleul în sine. (sys, kern, dev), estompând urmele funcțiilor suspecte și dezactivând regulile de detectare bazate pe nume.

Următoarea mișcare este fragmentarea modulelor în fragmente criptate care sunt reasamblate doar în memorie. Fragmentele sunt codificate cu XOR și un încărcător folosește memfd_create pentru a evita lăsarea de resturi pe disc; la introducerea acestuia, folosește apeluri de sistem directe (inclusiv finit_module) folosind un asamblator inline, evitând wrapper-ele libc pe care multe EDR-uri le monitorizează.

De asemenea, camuflează auxiliarele ftrace: funcțiile monitorizate de obicei (cum ar fi fh_install_hook sau fh_remove_hook) sunt redenumiți într-un mod determinist cu identificatori aleatori, menținându-și comportamentul, dar rupându-le Semnături elastice care vizează rootkit-uri generice.

La nivel comportamental, cercetătorii ocolesc regulile shell-ului invers prin scrierea mai întâi a payload-ului pe disc și apoi executarea acestuia cu Linii de comandă „curate”În plus, rootkitul ascunde imediat procesele care rulează folosind semnale specifice, ceea ce complică corelația. între evenimente și activitatea reală.

Capacitățile și riscurile rootkit-urilor pentru mediile europene

Riscurile rootkit-urilor în Linux

Dincolo de evaziune, Singularitatea încorporează funcții ofensive: poate ascunde procesele în /proc, ascunzând fișierele și directoarele asociate cu modele precum „singularity” sau „matheuz” și deghizarea conexiunilor TCP (de exemplu, pe portul 8081). De asemenea, permite escaladarea privilegiilor prin semnale personalizate sau variabile de mediuși oferă un backdoor ICMP capabil să activeze shell-uri la distanță.

Proiectul adaugă apărări anti-analiză, blocând urmele și igienizarea înregistrărilor pentru a reduce zgomotul criminalistic. Încărcătorul este compilat static și poate funcționa în locații mai puțin monitorizate, consolidând un lanț de execuție în care întregul modul nu atinge niciodată discul Și, prin urmare, analiza statică rămâne fără material.

Pentru organizațiile din Spania și din restul Europei care se bazează pe Elastic Defend, acest caz le obligă să revizuiți regulile de detectare și să consolideze monitorizarea de nivel scăzut. Combinația dintre ofuscare, încărcarea memoriei și apeluri de sistem directe dezvăluie o suprafață în care controalele bazate pe comportament sunt limitate. Nu surprind contextul kernelului.

Echipele SOC ar trebui să acorde prioritate monitorizarea integrității nucleului (de exemplu, validarea LKM și protecțiile împotriva încărcării neautorizate), încorporează analize criminalistice ale memoriei și Corelația semnalului eBPF cu telemetria sistemului și să aplice o apărare în profunzime care combină euristicile, listele albe, consolidarea și actualizarea continuă a semnăturilor.

În mediile critice, este recomandabil să se consolideze politicile pentru a reduce suprafața de atac: limitarea sau dezactivarea capacității de încărcare a modulelor, consolidarea politicilor de securitate și capabilități (CAP_SYS_MODULE)Monitorizați utilizarea memfd_create și validați anomaliile din numele simbolurilor. Toate acestea fără a vă baza exclusiv pe EDR, ci prin combinarea mai multe niveluri de control și verificări încrucișate.

Cazul Singularității demonstrează că, confruntați cu adversari care își perfecționează ofuscarea, apărătorii trebuie să evolueze către tehnici de analiză mai profundă și orchestrată. Detectarea fiabilă a amenințărilor la nivelul kernelului implică adăugarea de integritate, memorie și corelare avansată la EDR pentru a reduce punctele slabe și a ridica ștacheta în materie de reziliență.