En gruppe forskere har vist en Linux-rootkit kalt Singularity som klarer å gå uoppdaget av Elastic Security EDR, noe som fremhever betydelige begrensninger i kjernenivådeteksjon. Dette konseptbeviset er ikke bare teoretisk: Den kombinerer teknikker for obfuskasjon og unnvikelse. for å redusere signalene som normalt ville avsløre en ondsinnet modul til null.
Oppdagelsen bekymrer europeiske sikkerhetsteam, inkludert i Spania, fordi Elastic utløser vanligvis mer enn 26 varsler mot konvensjonelle rootkits, og i dette tilfellet har de ikke blitt utløst. Forskningen, publisert for pedagogiske formål av 0xMatheuZ, viser at signatur- og mønsterbaserte metoder De kommer til kort mot motstandere som forbedrer ingeniørkunsten deres.
Slik overlister du elastisk EDR: viktige unnvikelsesteknikker
Singularitetens første fordel er strengforvirring under kompileringFragmenterer sensitive literaler (f.eks. "GPL" eller "kallsyms_lookup_name") i sammenhengende deler som C-kompilatoren kan forstå. komponerer automatisk på nytthindrer skannere som YARA i å finne kontinuerlige ondsinnede strenger uten å ofre funksjonalitet.
Parallelt gjelder det randomisering av symbolnavnI stedet for forutsigbare identifikatorer som hook_getdents eller hide_module, bruker den generiske tagger med prefikser som De etterligner selve kjernen. (sys, kern, dev), slik at sporet av mistenkelige funksjoner viskes ut og navnebaserte deteksjonsregler deaktiveres.
Det neste trekket er modulfragmentering i krypterte deler som bare settes sammen igjen i minnet. Fragmentene kodes med XOR, og en laster bruker memfd_create for å unngå å etterlate rester på disken. Når den settes inn, bruker den direkte systemanrop (inkludert finit_module) ved bruk av innebygd assembler, og unngår libc-wrappere som mange EDR-er overvåker.
Den kamuflerer også ftrace-hjelpefunksjoner: vanligvis overvåkede funksjoner (som fh_install_hook eller fh_remove_hook) er gi nytt navn på en deterministisk måte med tilfeldige identifikatorer, som opprettholder oppførselen sin, men bryter sammen Elastiske signaturer rettet mot generiske rootkits.
På atferdsnivået omgår forskerne reverse shell-regler ved først å skrive nyttelasten til disk og deretter kjøre den med «Rengjør» kommandolinjerVidere skjuler rootkittet umiddelbart kjørende prosesser ved hjelp av spesifikke signaler, noe som kompliserer korrelasjonen. mellom hendelser og reell aktivitet.
Rootkit-kapasiteter og risikoer for europeiske miljøer
Utover unnvikelse, inneholder Singularity offensive funksjoner: den kan skjul prosesser i /proc, skjuler filer og mapper tilknyttet mønstre som «singularitet» eller «matheuz», og skjule TCP-tilkoblinger (for eksempel på port 8081). Det muliggjør også privilegieeskalering gjennom tilpassede signaler eller miljøvariabler, og tilbyr en ICMP-bakdør som kan aktivere eksterne skall.
Prosjektet legger til anti-analyseforsvar, blokkerer spor og rensing av poster for å redusere etterforskningsstøy. Lasteren er statisk kompilert og kan operere på mindre overvåkede steder, noe som forsterker en utførelseskjede der hele modulen berører aldri disken Og derfor går statisk analyse tom for materiale.
For organisasjoner i Spania og resten av Europa som er avhengige av Elastic Defend, tvinger saken dem til å regler for gjennomgang av deteksjon og styrke lavnivåovervåking. Kombinasjonen av obfuskering, minnelasting og direkte systemanrop avslører en overflate der atferdsbaserte kontroller er begrenset. De fanger ikke opp kjernekonteksten.
SOC-teamene bør prioritere overvåking av kjerneintegritet (for eksempel LKM-validering og beskyttelse mot uautorisert lasting), innlemme minneforensikk og eBPF-signalkorrelasjon med systemtelemetri, og anvende forsvar i dybden som blander heuristikker, hvitelister, herding og kontinuerlig oppdatering av signaturer.
I kritiske miljøer anbefales det å styrke retningslinjer for å redusere angrepsflaten: begrense eller deaktivere muligheten til å laste inn moduler, forsterke sikkerhetsretningslinjer og funksjoner (CAP_SYS_MODULE)Overvåk bruken av memfd_create og valider avvik i symbolnavn. Alt dette uten å utelukkende stole på EDR, men ved å kombinere flere lag med kontroll og kryssjekker.
Singularity-saken viser at forsvarere, stilt overfor motstandere som perfeksjonerer sin tilsløring, må utvikle seg mot dypere analyseteknikker og orkestrert. Pålitelig kjernetrusseldeteksjon innebærer å legge til integritet, minne og avansert korrelasjon til EDR for å redusere blindsoner og heve standarden for robusthet.