ערכת רוט של לינוקס שעוקפת Elastic EDR: סינגולריות נחשפה

  • חוקרים מציגים את Singularity, רוטקיט לינוקס המסוגל לעקוף את Elastic EDR באמצעות טכניקות מתקדמות.
  • אסטרטגיות עיקריות: ערפול מחרוזות, אקראיות סמלים, פרגמנטציה וטעינת זיכרון, וקריאות סיסקאליות ישירות.
  • פונקציות זדוניות: הסתרת תהליכים, קבצים וחיבורים, דלת אחורית של ICMP והסלמת הרשאות.
  • השפעה על אירופה וספרד: צורך דחוף לנטר את שלמות הליבה וליישם הגנה מעמיקה באמצעות פורנזיקה של זיכרון.
Isaac

4 דקות

ערכת רוטקיט לינוקס מתחמקת מ-Elastic EDR

קבוצת חוקרים הראתה ש ערכת רוטקיט לינוקס בשם סינגולריות אשר מצליחה לחמוק מבלי להתגלות על ידי Elastic Security EDR, מה שמדגיש מגבלות משמעותיות בזיהוי ברמת הליבה. הוכחת היתכנות זו אינה תיאורטית בלבד: הוא משלב טכניקות של ערפול והתחמקות. כדי להפחית לאפס את האותות שבדרך כלל יסגירו מודול זדוני.

התגלית מדאיגה צוותי אבטחה אירופאים, כולל בספרד, משום Elastic בדרך כלל מפעיל יותר מ-26 התראות כנגד רוטקיטים קונבנציונליים, ובמקרה זה, הם לא הופעלו. המחקר, שפורסם למטרות חינוכיות על ידי 0xMatheuZ, מראה כי ה- שיטות מבוססות חתימה ותבניות הם נכשלים מול יריבים שמשפרים את ההנדסה שלהם.

איך להערים על Elastic EDR: טכניקות התחמקות מרכזיות

התחמקות מ-EDR בלינוקס

היתרון הראשון של סינגולריות הוא ערפול מחרוזות בזמן קומפילציהמפרק ליטרלים רגישים (למשל, "GPL" או "kallsyms_lookup_name") לחלקים רציפים שמהדר C יכול להבין. מבצע חיבור מחדש באופן אוטומטימניעת סורקים כמו YARA למצוא מחרוזות זדוניות רציפות מבלי לפגוע בפונקציונליות.

במקביל זה חל אקראיות של שמות סמליםבמקום מזהים צפויים כמו hook_getdents או hide_module, הוא מאמץ תגיות גנריות עם קידומות ש... הם מחקים את הגרעין עצמו. (sys, kern, dev), טשטוש עקבות של פונקציות חשודות ומנטרול כללי זיהוי מבוססי שם.

המהלך הבא הוא ה פיצול מודולים בחלקים מוצפנים שמורכבים מחדש רק בזיכרון. הפרגמנטים מקודדים באמצעות XOR וטוען משתמש ב- memfd_create כדי למנוע השארת שאריות בדיסק; בעת הכנסתו, הוא משתמש קריאות מערכת ישירות (כולל finit_module) באמצעות אסמבלר מובנה, תוך התחמקות מעטיפות libc ש-EDRs רבים עוקבים אחריהם.

זה גם מסתיר רכיבי עזר של ftrace: פונקציות שבדרך כלל מנוטרות (כגון fh_install_hook או fh_remove_hook) הן שינוי שם בצורה דטרמיניסטית עם מזהים אקראיים, שומרים על התנהגותם אך נשברים חתימות אלסטיות המכוונות לרוטקיטים גנריים.

ברמה ההתנהגותית, החוקרים עוקפים את כללי ה-reverse shell על ידי כתיבת המטען לדיסק תחילה ולאחר מכן ביצועו באמצעות שורות פקודה "נקיות"יתר על כן, ערכת הרוטקיט מסתירה באופן מיידי תהליכים פועלים באמצעות אותות ספציפיים, מה שמסבך את הקורלציה. בין אירועים לפעילות אמיתית.

יכולות וסיכונים של Rootkit עבור סביבות אירופאיות

סיכונים של רוטקיטים בלינוקס

מעבר להתחמקות, סינגולריות משלבת פונקציות התקפיות: היא יכולה הסתר תהליכים ב-/proc, מסתיר קבצים וספריות הקשורים לתבניות כגון "סינגולריות" או "matheuz", ו הסוואת חיבורי TCP (לדוגמה, בפורט 8081). זה גם מאפשר הסלמת הרשאות דרך אותות מותאמים אישית או משתני סביבה, ומציע דלת אחורית של ICMP המסוגלת להפעיל פגזים מרוחקים.

הפרויקט מוסיף הגנות נגד ניתוח, חסימת עקבות ו ניקוי רשומות כדי להפחית רעש פורנזי. הטעינה עוברת קומפילציה סטטית ויכולה לפעול במקומות פחות מנוטרים, מה שמחזק שרשרת ביצוע שבה כל המודול לעולם לא נוגע בדיסק ולכן, הניתוח הסטטי אוזל החומר.

עבור ארגונים בספרד ובשאר אירופה המסתמכים על Elastic Defend, המקרה מאלץ אותם כללי זיהוי ביקורות ולחזק ניטור ברמה נמוכה. השילוב של ערפול, טעינת זיכרון וקריאות ישירות למערכת חושף משטח שבו בקרות מבוססות התנהגות מוגבלות. הם לא לוכדים את הקשר הליבה.

צוותי SOC צריכים לתעדף את ניטור שלמות הליבה (לדוגמה, אימות LKM והגנות מפני טעינה לא מורשית), משלבים ניתוח פורנזי של זיכרון ו קורלציית אות eBPF עם טלמטריית מערכת, וליישם הגנה מעמיקה המשלבת היוריסטיקות, רשימות לבנות, הקשחה ו עדכון מתמיד של חתימות.

בסביבות קריטיות, מומלץ לחזק מדיניות כדי להפחית את משטח התקיפה: להגביל או להשבית את היכולת לטעון מודולים, לחזק את מדיניות האבטחה, ו... יכולות (CAP_SYS_MODULE)ניטור השימוש ב-memfd_create ואימות אנומליות בשמות סמלים. כל זאת מבלי להסתמך אך ורק על EDR, אלא על ידי שילוב שכבות מרובות של שליטה ובדיקות צולבות.

מקרה הסינגולריות מדגים כי, מול יריבים שמשכללים את ערפולם, מגנים חייבים להתפתח לעבר טכניקות ניתוח מעמיקות יותר ומתואם. זיהוי אמין של איומי ליבה כרוך בהוספת שלמות, זיכרון וקורלציה מתקדמת ל-EDR כדי להפחית נקודות מתות ולהעלות את רף החוסן.