Skupina raziskovalcev je pokazala, Linuxov rootkit z imenom Singularity ki ga Elastic Security EDR ne zazna, kar poudarja pomembne omejitve pri zaznavanju na ravni jedra. Ta dokaz koncepta ni zgolj teoretičen: Združuje tehnike zakrivanja in izogibanja. da se signali, ki bi običajno izdali zlonamerni modul, zmanjšajo na nič.
Odkritje skrbi evropske varnostne ekipe, tudi tiste v Španiji, ker Elastic običajno sproži več kot 26 opozoril proti običajnim rootkitom, in v tem primeru se niso sprožili. Raziskava, ki jo je v izobraževalne namene objavil 0xMatheuZ, kaže, da metode, ki temeljijo na podpisih in vzorcih Ne uspejo proti nasprotnikom, ki izpopolnjujejo njihovo inženirstvo.
Kako prelisičiti elastični EDR: ključne tehnike izogibanja
Prva prednost singularnosti je zakrivanje nizov med prevajanjemFragmentira občutljive literale (npr. »GPL« ali »kallsyms_lookup_name«) v sosednje dele, ki jih prevajalnik C lahko razume. samodejno ponovno sestavipreprečevanje skenerjem, kot je YARA, da bi našli neprekinjene zlonamerne nize, ne da bi pri tem žrtvovali funkcionalnost.
Vzporedno velja naključno določanje imen simbolovNamesto predvidljivih identifikatorjev, kot sta hook_getdents ali hide_module, uporablja generične oznake s predponami, ki Posnemajo samo jedro. (sys, kern, dev), s čimer se zabriše sled sumljivih funkcij in onemogočijo pravila zaznavanja na podlagi imen.
Naslednja poteza je fragmentacija modulov v šifriranih delih, ki se ponovno sestavijo le v pomnilniku. Fragmenti so kodirani z XOR in nalagalnik uporablja memfd_create, da se izognemo ostankom na disku; pri vstavljanju uporablja neposredni sistemski klici (vključno s koničnim modulom finit_module) z uporabo linijskega zbirnika, pri čemer se izognemo ovojnicam libc, ki jih spremlja veliko EDR-jev.
Prav tako prikriva pomožne funkcije ftrace: običajno nadzorovane funkcije (kot sta fh_install_hook ali fh_remove_hook) so preimenovati na determinističen način z naključnimi identifikatorji, ohranjajo njihovo vedenje, vendar kršijo Elastični podpisi, ki ciljajo na generične rootkite.
Na vedenjski ravni raziskovalci zaobidejo pravila obratne lupine tako, da najprej zapišejo koristni tovor na disk in ga nato izvedejo z »Čiste« ukazne vrsticePoleg tega rootkit takoj skrije delujoče procese z uporabo določenih signalov, kar otežuje korelacijo. med dogodki in dejansko dejavnostjo.
Zmogljivosti in tveganja rootkitov za evropska okolja
Poleg izogibanja Singularnost vključuje tudi ofenzivne funkcije: lahko skrivanje procesov v /proc, skrivanje datotek in imenikov, povezanih z vzorci, kot sta »singularnost« ali »matheuz«, in prikrivanje TCP povezav (na primer na vratih 8081). Omogoča tudi stopnjevanje privilegijev prek signali po meri ali okoljske spremenljivkein ponuja ICMP zadnja vrata, ki lahko aktivirajo oddaljene lupine.
Projekt dodaja zaščito pred analizo, blokiranje sledi in čiščenje zapisov za zmanjšanje forenzičnega šuma. Nalagalnik je statično preveden in lahko deluje na manj nadzorovanih lokacijah, kar krepi verigo izvajanja, v kateri celoten modul se nikoli ne dotakne diska In zato statični analizi zmanjka materiala.
Organizacije v Španiji in preostali Evropi, ki se zanašajo na Elastic Defend, so zaradi tega prisiljene pravila za zaznavanje pregledov in okrepiti spremljanje na nizki ravni. Kombinacija zakrivanja, nalaganja pomnilnika in neposrednih sistemskih klicev razkriva površino, kjer so kontrole, ki temeljijo na vedenju, omejene. Ne zajamejo konteksta jedra.
Ekipe SOC bi morale dati prednost spremljanje integritete jedra (na primer validacija LKM in zaščita pred nepooblaščenim nalaganjem), vključite forenziko pomnilnika in Korelacija signala eBPF s sistemsko telemetrijo in uporabite obrambo v globino, ki združuje hevristiko, bele liste, utrjevanje in nenehno posodabljanje podpisov.
V kritičnih okoljih je priporočljivo okrepiti politike za zmanjšanje površine napada: omejiti ali onemogočiti možnost nalaganja modulov, okrepiti varnostne politike in zmogljivosti (CAP_SYS_MODULE)Spremljajte uporabo memfd_create in preverjajte anomalije v imenih simbolov. Vse to brez izključnega zanašanja na EDR, ampak z združevanjem več plasti nadzora in navzkrižne kontrole.
Primer Singularnosti dokazuje, da se morajo zagovorniki, soočeni z nasprotniki, ki izpopolnjujejo svoje zakrivanje, razvijati v smeri tehnike globlje analize in orkestrirano. Zanesljivo zaznavanje groženj jedra vključuje dodajanje integritete, pomnilnika in napredne korelacije EDR za zmanjšanje mrtvih peg in dvig standardov odpornosti.