Pētnieku grupa ir parādījusi, ka Linux rootkits ar nosaukumu Singularity ko Elastic Security EDR neizdodas atklāt, izceļot būtiskus ierobežojumus kodola līmeņa noteikšanā. Šis koncepcijas pierādījums nav tikai teorētisks: Tas apvieno apmulsināšanas un izvairīšanās paņēmienus. lai līdz nullei samazinātu signālus, kas parasti nodotu ļaunprātīgu moduli.
Šis atklājums satrauc Eiropas drošības komandas, tostarp Spānijā, jo Elastic parasti aktivizē vairāk nekā 26 brīdinājumus pret parastajiem rootkitiem, un šajā gadījumā tie nav aktivizēti. Pētījums, ko izglītības nolūkos publicēja 0xMatheuZ, liecina, ka uz parakstiem un modeļiem balstītas metodes Viņi nespēj pretoties pretiniekiem, kuri pilnveido viņu inženieriju.
Kā pārspēt elastīgo EDR: galvenās izvairīšanās metodes
Singularitātes pirmā priekšrocība ir kompilēšanas laika virkņu slēpšanaFragmentē sensitīvus literāļus (piemēram, "GPL" vai "kallsyms_lookup_name") nepārtrauktos fragmentos, ko C kompilators var saprast. automātiski pārveido kompozīcijuneļaujot skeneriem, piemēram, YARA, atrast nepārtrauktas ļaunprātīgas virknes, neupurējot funkcionalitāti.
Paralēli tas tiek piemērots simbolu nosaukumu nejaušināšanaParedzamu identifikatoru, piemēram, hook_getdents vai hide_module, vietā tas izmanto vispārīgus tagus ar prefiksiem, kas Tie atdarina pašu kodolu. (sys, kern, dev), aizmiglojot aizdomīgu funkciju pēdas un atbruņojot uz nosaukumiem balstītus noteikšanas noteikumus.
Nākamais solis ir moduļu fragmentācija šifrētās daļās, kas tiek atkārtoti saliktas tikai atmiņā. Fragmenti tiek kodēti ar XOR, un ielādētājs izmanto memfd_create, lai diskā neatstātu atlikumus; ievietojot to, tas izmanto tiešie sistēmas izsaukumi (ieskaitot finit_module), izmantojot iekļauto asembleri, izvairoties no libc apvalkiem, kurus pārrauga daudzi EDR.
Tas arī maskē ftrace palīgfunkcijas: parasti tiek uzraudzītas funkcijas (piemēram, fh_install_hook vai fh_remove_hook). pārdēvēt deterministiskā veidā ar nejaušiem identifikatoriem, saglabājot savu uzvedību, bet pārtraucot Elastīgie paraksti, kas vērsti pret vispārīgiem rootkitiem.
Uzvedības līmenī pētnieki apiet apgrieztās čaulas noteikumus, vispirms ierakstot lietderīgo slodzi diskā un pēc tam izpildot to ar “Tīras” komandrindasTurklāt sakņu komplekts, izmantojot īpašus signālus, nekavējoties slēpj darbojošos procesus, kas sarežģina korelāciju. starp notikumiem un reālu darbību.
Sakņkopu iespējas un riski Eiropas vidēm
Papildus izvairīšanās iespējai, Singularitāte ietver aizskarošas funkcijas: tā var slēpt procesus /proc failā, slēpjot failus un direktorijus, kas saistīti ar tādiem modeļiem kā "singularitāte" vai "matheuz", un maskēt TCP savienojumus (piemēram, 8081. portā). Tas arī ļauj palielināt privilēģijas, izmantojot pielāgoti signāli vai vides mainīgie, un piedāvā ICMP aizmugurējo durvju funkciju, kas spēj aktivizēt attālās čaulas.
Projekts pievieno pretanalīzes aizsardzības mehānismus, bloķējot pēdas un ierakstu dezinfekcija lai samazinātu kriminālistisko troksni. Ielādētājs tiek statiski kompilēts un var darboties mazāk uzraudzītās vietās, pastiprinot izpildes ķēdi, kurā viss modulis nekad nepieskaras diskam Un tāpēc statiskajai analīzei beidzas materiāls.
Organizācijām Spānijā un pārējā Eiropā, kas paļaujas uz Elastic Defend, šī lieta liek tām pārskatīšanas noteikšanas noteikumi un stiprināt zema līmeņa uzraudzību. Aptumšošanas, atmiņas ielādes un tiešu sistēmisko izsaukumu kombinācija atklāj virsmu, kurā uz uzvedību balstītas kontroles ir ierobežotas. Tie neaptver kodola kontekstu.
SOC komandām vajadzētu prioritāti piešķirt kodola integritātes uzraudzība (piemēram, LKM validācija un aizsardzība pret neatļautu ielādi), iekļauj atmiņas forenziku un eBPF signāla korelācija ar sistēmas telemetriju un piemērot padziļinātu aizsardzību, kas apvieno heiristiku, baltos sarakstus, aizsardzības pastiprināšanu un nepārtraukta parakstu atjaunināšana.
Kritiskās vidēs ieteicams stiprināt politikas, lai samazinātu uzbrukuma virsmu: ierobežot vai atspējot moduļu ielādes iespēju, pastiprināt drošības politikas un iespējas (CAP_SYS_MODULE)Uzrauga memfd_create izmantošanu un validē anomālijas simbolu nosaukumos. Tas viss, nepaļaujoties tikai uz EDR, bet gan apvienojot vairāki kontroles līmeņi un savstarpējās pārbaudes.
Singularitātes gadījums parāda, ka, saskaroties ar pretiniekiem, kuri pilnveido savu apmulsināšanu, aizstāvjiem ir jāattīstās virzienā dziļākas analīzes metodes un orķestrēta. Uzticama kodola apdraudējumu noteikšana ietver integritātes, atmiņas un uzlabotas korelācijas pievienošanu EDR, lai samazinātu aklos punktus un paaugstinātu noturības latiņu.