Một nhóm các nhà nghiên cứu đã chỉ ra một Rootkit Linux có tên là Singularity Điều này đã không bị Elastic Security EDR phát hiện, cho thấy những hạn chế đáng kể trong việc phát hiện ở cấp độ kernel. Bằng chứng về khái niệm này không chỉ mang tính lý thuyết: Nó kết hợp các kỹ thuật che giấu và né tránh. để giảm xuống mức không các tín hiệu thường có thể phát hiện ra mô-đun độc hại.
Phát hiện này khiến các đội an ninh châu Âu, bao gồm cả Tây Ban Nha, lo lắng vì Elastic thường kích hoạt hơn 26 cảnh báo chống lại các rootkit thông thường, và trong trường hợp này, chúng chưa được kích hoạt. Nghiên cứu, được công bố cho mục đích giáo dục bởi 0xMatheuZ, cho thấy rằng phương pháp dựa trên chữ ký và mẫu Họ không thể chống lại những đối thủ cải tiến kỹ thuật của họ.
Làm thế nào để qua mặt Elastic EDR: các kỹ thuật né tránh quan trọng
Ưu điểm đầu tiên của Singularity là làm tối nghĩa chuỗi thời gian biên dịchPhân đoạn các ký tự nhạy cảm (ví dụ: "GPL" hoặc "kallsyms_lookup_name") thành các phần liền kề mà trình biên dịch C có thể hiểu được. tự động soạn lạingăn chặn các trình quét như YARA tìm thấy các chuỗi độc hại liên tục mà không ảnh hưởng đến chức năng.
Song song đó nó áp dụng ngẫu nhiên hóa tên ký hiệuThay vì các mã định danh có thể dự đoán được như hook_getdents hoặc hide_module, nó sử dụng các thẻ chung với tiền tố Chúng mô phỏng chính hạt nhân. (sys, kern, dev), làm mờ dấu vết của các hàm đáng ngờ và vô hiệu hóa các quy tắc phát hiện dựa trên tên.
Động thái tiếp theo là phân mảnh mô-đun trong các mảnh được mã hóa chỉ được lắp ráp lại trong bộ nhớ. Các mảnh được mã hóa bằng XOR và trình tải sử dụng memfd_create để tránh để lại phần còn lại trên đĩa; khi chèn nó, nó sử dụng các cuộc gọi hệ thống trực tiếp (bao gồm finit_module) sử dụng trình biên dịch nội tuyến, tránh các trình bao bọc libc mà nhiều EDR giám sát.
Nó cũng ngụy trang các tiện ích bổ sung ftrace: các chức năng thường được giám sát (như fh_install_hook hoặc fh_remove_hook) là đổi tên theo cách xác định với các mã định danh ngẫu nhiên, duy trì hành vi của chúng nhưng phá vỡ Chữ ký đàn hồi nhắm mục tiêu vào rootkit chung.
Ở cấp độ hành vi, các nhà nghiên cứu tránh các quy tắc vỏ ngược bằng cách đầu tiên ghi tải trọng vào đĩa và sau đó thực thi nó bằng Dòng lệnh “sạch”Hơn nữa, rootkit ngay lập tức ẩn các tiến trình đang chạy bằng các tín hiệu cụ thể, làm phức tạp thêm mối tương quan. giữa các sự kiện và hoạt động thực tế.
Khả năng và rủi ro của Rootkit đối với môi trường Châu Âu
Ngoài khả năng trốn tránh, Singularity còn kết hợp các chức năng tấn công: nó có thể ẩn các tiến trình trong /proc, ẩn các tệp và thư mục liên quan đến các mẫu như "singularity" hoặc "matheuz", và ngụy trang kết nối TCP (ví dụ, trên cổng 8081). Nó cũng cho phép leo thang đặc quyền thông qua tín hiệu tùy chỉnh hoặc biến môi trườngvà cung cấp một cửa hậu ICMP có khả năng kích hoạt các shell từ xa.
Dự án bổ sung các biện pháp phòng thủ chống phân tích, chặn dấu vết và vệ sinh hồ sơ để giảm nhiễu pháp y. Bộ tải được biên dịch tĩnh và có thể hoạt động ở những vị trí ít được giám sát hơn, củng cố chuỗi thực thi trong đó toàn bộ mô-đun không bao giờ chạm vào đĩa Và do đó, phân tích tĩnh không còn đủ dữ liệu.
Đối với các tổ chức ở Tây Ban Nha và phần còn lại của Châu Âu dựa vào Elastic Defend, vụ việc này buộc họ phải xem lại các quy tắc phát hiện và tăng cường giám sát cấp thấp. Sự kết hợp giữa làm tối nghĩa, tải bộ nhớ và lệnh gọi hệ thống trực tiếp cho thấy một bề mặt mà các biện pháp kiểm soát dựa trên hành vi bị hạn chế. Họ không nắm bắt được bối cảnh hạt nhân.
Các nhóm SOC nên ưu tiên giám sát tính toàn vẹn của hạt nhân (ví dụ, xác thực LKM và bảo vệ chống lại việc tải trái phép), kết hợp giám định bộ nhớ và tương quan tín hiệu eBPF với hệ thống đo từ xa và áp dụng phòng thủ chuyên sâu kết hợp các phương pháp tiếp cận, danh sách trắng, củng cố và cập nhật liên tục chữ ký.
Trong các môi trường quan trọng, nên tăng cường các chính sách để giảm bề mặt tấn công: hạn chế hoặc vô hiệu hóa khả năng tải các mô-đun, củng cố các chính sách bảo mật và khả năng (CAP_SYS_MODULE)Giám sát việc sử dụng memfd_create và xác thực các bất thường trong tên ký hiệu. Tất cả những điều này không chỉ dựa vào EDR, mà bằng cách kết hợp nhiều lớp kiểm soát và kiểm tra chéo.
Trường hợp Singularity chứng minh rằng, khi đối mặt với những kẻ thù hoàn thiện sự che giấu của chúng, những người bảo vệ phải tiến hóa theo hướng kỹ thuật phân tích sâu hơn và được sắp xếp. Phát hiện mối đe dọa hạt nhân đáng tin cậy liên quan đến việc bổ sung tính toàn vẹn, bộ nhớ và tương quan nâng cao vào EDR để giảm điểm mù và nâng cao khả năng phục hồi.