Група изследователи е показала, Руткитът на Linux, наречен Singularity което успява да остане незабелязано от Elastic Security EDR, което подчертава значителни ограничения в откриването на ниво ядро. Това доказателство за концепцията не е просто теоретично: Той съчетава техники на замъгляване и избягване. да се намалят до нула сигналите, които обикновено биха издали злонамерен модул.
Откритието тревожи европейските екипи по сигурността, включително в Испания, защото Elastic обикновено задейства повече от 26 предупреждения срещу конвенционални руткитове и в този случай те не са били задействани. Изследването, публикувано за образователни цели от 0xMatheuZ, показва, че методи, базирани на сигнатури и шаблони Те не успяват да се справят с противници, които усъвършенстват инженерните си решения.
Как да надхитрим еластичния EDR: ключови техники за избягване
Първото предимство на Сингулярността е обфускация на низове по време на компилацияФрагментира чувствителни литерали (напр. „GPL“ или „kallsyms_lookup_name“) в съседни части, които C компилаторът може да разбере. автоматично прекомпозирапредотвратяване на скенери като YARA да откриват непрекъснати злонамерени низове, без да се жертва функционалността.
Успоредно с това се прилага рандомизация на имената на символитеВместо предвидими идентификатори като hook_getdents или hide_module, той приема генерични тагове с префикси, които Те имитират самото ядро. (sys, kern, dev), размивайки следите от подозрителни функции и обезвреждайки правилата за откриване, базирани на имена.
Следващият ход е фрагментация на модула в криптирани части, които се сглобяват отново само в паметта. Фрагментите се кодират с XOR и зареждащият механизъм използва memfd_create, за да избегне оставянето на остатъци на диска; при вмъкването му, той използва директни системни извиквания (включително finit_module) използвайки вграден асемблер, избягвайки libc обвивките, които много EDR-и наблюдават.
Той също така камуфлира помощните функции на ftrace: обикновено наблюдаваните функции (като fh_install_hook или fh_remove_hook) са преименуване по детерминистичен начин със случайни идентификатори, запазвайки поведението им, но нарушавайки Еластични сигнатури, насочени към генерични руткитове.
На поведенческо ниво, изследователите заобикалят правилата за обратна обвивка, като първо записват полезния товар на диск и след това го изпълняват с „Чисти“ командни редовеОсвен това, руткитът незабавно скрива работещите процеси, използвайки специфични сигнали, което усложнява корелацията. между събитията и реалната дейност.
Възможности и рискове от руткитове за европейска среда
Освен избягването, Сингулярността включва и офанзивни функции: тя може скриване на процеси в /proc, скриване на файлове и директории, свързани с шаблони като „сингулярност“ или „matheuz“, и маскиране на TCP връзки (например на порт 8081). Това също така позволява ескалация на привилегиите чрез персонализирани сигнали или променливи на околната средаи предлага ICMP задна вратичка, способна да активира отдалечени обвивки.
Проектът добавя защити срещу анализ, блокиране на следи и дезинфекция на записи за намаляване на криминалистичния шум. Зареждащата програма е статично компилирана и може да работи на по-малко наблюдавани места, подсилвайки веригата на изпълнение, в която целият модул никога не докосва диска И следователно, статичният анализ изчерпва материала.
За организациите в Испания и останалата част на Европа, които разчитат на Elastic Defend, случаят ги принуждава да правила за откриване на преглед и да се засили мониторингът на ниско ниво. Комбинацията от обфускация, зареждане на паметта и директни системни извиквания разкрива повърхност, където контролите, базирани на поведение, са ограничени. Те не улавят контекста на ядрото.
Екипите на SOC трябва да дадат приоритет наблюдение на целостта на ядрото (например, валидиране на LKM и защити срещу неоторизирано зареждане), включване на анализи на паметта и Корелация на сигнала eBPF със системна телеметрия и прилага защита в дълбочина, която комбинира евристики, бели списъци, засилване и непрекъснато актуализиране на подписи.
В критични среди е препоръчително да се засилят политиките за намаляване на повърхността за атака: ограничаване или деактивиране на възможността за зареждане на модули, засилване на политиките за сигурност и възможности (CAP_SYS_MODULE)Следете използването на memfd_create и валидирайте аномалии в имената на символите. Всичко това, без да се разчита изключително на EDR, а чрез комбиниране множество нива на контрол и кръстосани проверки.
Случаят със Сингулярността показва, че изправени пред противници, които усъвършенстват своето замъгляване, защитниците трябва да се развиват към техники за по-задълбочен анализ и оркестрирано. Надеждното откриване на заплахи в ядрото включва добавяне на интегритет, памет и разширена корелация към EDR, за да се намалят слепите зони и да се повиши летвата за устойчивост.