Ƙungiyar masu bincike sun nuna a Linux rootkit mai suna Singularity wanda ke gudanar da tafiya ba tare da gano shi ta EDR Tsaro na Elastic ba, yana nuna ƙayyadaddun iyakancewa a cikin gano matakin kernel. Wannan hujja na ra'ayi ba kawai na ka'ida ba ne: Ya haɗu da dabarun obfuscation da gujewa. don rage zuwa sifili siginar da yawanci za su ci amanar ƙirar ƙira.
Binciken ya damu kungiyoyin tsaro na Turai, ciki har da Spain, saboda Na roba yawanci yana haifar da faɗakarwa sama da 26 a kan tushen tushen al'ada, kuma a wannan yanayin, ba a kunna su ba. Binciken, wanda 0xMatheuZ ya buga don dalilai na ilimi, ya nuna cewa sa hannu- da hanyoyin tushen tsarin Suna gazawa da abokan gaba waɗanda suke tace injiniyan su.
Yadda za a ƙware EDR Elastic: dabarun gujewa maɓalli
Amfanin farko na Singularity shine hade-lokaci kirtani obfuscationRubuce-rubuce masu mahimmanci (misali, "GPL" ko "kallsyms_lookup_name") zuwa gungu-gungu waɗanda mai tarawa C zai iya fahimta. ta atomatik recomposeshana na'urar daukar hotan takardu kamar YARA samun ci gaba da muggan igiyoyi ba tare da sadaukar da ayyuka ba.
A layi daya ya shafi bazuwar sunayen alamomiMaimakon abubuwan gano masu iya tsinkaya kamar hook_getdents ko hide_module, yana ɗaukar alamomin jeri-ka-fice tare da prefixes waɗanda Suna kwaikwayon kwaya da kanta. (sys, kern, dev), blurring sawun ayyukan da ake tuhuma da kuma kwance dokokin gano tushen suna.
Mataki na gaba shine module fragmentation cikin rufaffiyar rufaffiyar waɗanda aka sake haɗa su a cikin ƙwaƙwalwar ajiya kawai. An lulluɓe guntuwar tare da XOR kuma mai ɗaukar kaya yana amfani da memfd_create don guje wa barin ragowar akan faifai; lokacin shigar da shi yana amfani kira tsarin kai tsaye (ciki har da finit_module) ta amfani da mahaɗar layi, kawar da libc wrappers wanda yawancin EDRs ke saka idanu.
Har ila yau, yana kama ftrace auxiliaries: yawanci ayyukan kulawa (kamar fh_install_hook ko fh_remove_hook) sake suna ta hanya mai kayyadewa tare da masu gano bazuwar, kiyaye halayensu amma karya Sa hannu na roba masu niyya ga tushen tushen tushen.
A matakin ɗabi'a, masu binciken suna bin ƙa'idodin jujjuyawar harsashi ta hanyar fara rubuta nauyin da aka biya zuwa faifai sannan aiwatar da shi tare da Layin umarni "Tsaftace".Bugu da ƙari kuma, rootkit nan da nan yana ɓoye hanyoyin tafiyar da aiki ta amfani da takamaiman sigina, yana rikitar da daidaituwa. tsakanin abubuwan da suka faru da ainihin aiki.
Rootkit iyawa da kasada ga Turai muhallin
Bayan gujewa, Singularity ya ƙunshi ayyuka masu banƙyama: yana iya boye matakai a /proc, ɓoye fayiloli da kundayen adireshi masu alaƙa da alamu kamar "singularity" ko "matheuz", da canza haɗin TCP (misali, akan tashar jiragen ruwa 8081). Hakanan yana ba da damar haɓaka gata ta hanyar sigina na al'ada ko masu canjin muhalli, kuma yana ba da ƙofar baya ta ICMP mai iya kunna bawo mai nisa.
Aikin yana ƙara matakan kariya na rigakafi, toshe alamu da sanitizing records don rage hayaniyar shari'a. Loader an haɗa shi daidai gwargwado kuma yana iya aiki a wuraren da ba a kula da shi ba, yana ƙarfafa sarkar aiwatarwa a ciki. gaba dayan tsarin bai taɓa taɓa faifai ba Sabili da haka, bincike a tsaye ya ƙare daga abu.
Ga ƙungiyoyi a Spain da sauran ƙasashen Turai waɗanda ke dogaro da Elastic Defend, shari'ar ta tilasta musu duba dokokin ganowa da kuma ƙarfafa ƙananan matakan saka idanu. Haɗin ɓoyewa, ɗorawa ƙwaƙwalwar ajiya, da syscalls kai tsaye yana bayyana saman inda aka iyakance abubuwan sarrafawa na tushen ɗabi'a. Ba sa ɗaukar mahallin kwaya.
Ya kamata ƙungiyoyin SOC su ba da fifiko saka idanu mutuncin kwaya (misali, ingantacciyar LKM da kariya daga lodi mara izini), haɗa abubuwan bincike na ƙwaƙwalwar ajiya da eBPF daidaita siginar tare da tsarin telemetry, kuma a yi amfani da tsaro a cikin zurfin da ke haɗuwa da heuristics, whitelists, hardening da ci gaba da sabunta sa hannu.
A cikin yanayi mai mahimmanci, yana da kyau a ƙarfafa manufofi don rage girman harin: iyaka ko kashe ikon ɗaukar kayayyaki, ƙarfafa manufofin tsaro, da kuma iyawa (CAP_SYS_MODULE)Kula da amfani da memfd_create kuma tabbatar da rashin daidaituwa a cikin sunayen alamomi. Duk wannan ba tare da dogara ga EDR kawai ba, amma ta hanyar haɗawa mahara yadudduka na iko da giciye-check.
Shari'ar Singularity ta nuna cewa, fuskantar abokan gaba waɗanda suka kammala ɓarnarsu, dole ne masu kare su haɓaka zuwa. dabarun bincike mai zurfi kuma aka shirya. Amintaccen gano barazanar kwaya ya haɗa da ƙara mutunci, ƙwaƙwalwa, da haɓaka haɓakawa zuwa EDR don rage maƙafi da ɗaga mashaya don juriya.