Güvenlik araştırmacıları, Elastic Security’nin gelişmiş algılama mekanizmalarını aşabilen, uç nokta algılama ve yanıt çözümlerindeki kritik güvenlik açıklarını ortaya koyan gelişmiş bir Linux rootkitini ortaya çıkardı.
Singularity rootkit’i, genellikle kötü amaçlı çekirdek modüllerini tanımlayan statik imza analizini ve davranışsal izleme sistemlerini yenmek için birden fazla gizleme ve kaçırma tekniği kullanır.
Elastic Security’nin uç nokta algılama çerçevesi, standart rootkit uygulamalarıyla karşılaşıldığında genellikle 26’dan fazla ayrı uyarıyı tetikler.
Sistem, özellikle çekirdek düzeyindeki tehditleri tanımlamak için tasarlanmış YARA imza eşleştirme ve davranış analizi dahil olmak üzere birden fazla algılama katmanı kullanır.
Ancak araştırmacılar, bu savunmaların, metodik şaşırtmaca yoluyla sistematik olarak aşılabilecek öngörülebilir modellere dayandığını keşfettiler.
Rootkit dört temel kaçınma tekniğinden yararlanıyor. İlk teknik, derleme zamanında dize gizlemeyi, “GPL” ve “kallsyms_lookup_name” gibi hassas dizelerin ayrı derleme zamanı sabitlerine bölünmesini içerir.
C derleyicisi, derleme sırasında bu parçaları otomatik olarak birleştirerek imza tarayıcılarının son ikili dosyadaki bitişik kötü amaçlı dizeleri algılamasını engeller.
Bu yaklaşım, YARA kurallarının bağlı olduğu statik kalıp eşleşmesini bozarken tam işlevselliği korur.
İkinci kaçınma yöntemi, akıllı sembol adı rastgele seçimini uygular. Standart rootkit’ler, algılama sistemleri için iyi bilinen imzalar haline gelen “hook_getdents”, “fake_tcp4_seq_show” ve “hide_module” gibi öngörülebilir adlandırma modellerini kullanır.
Singularity rootkit, bu göstergelerin yerine “sys”, “kern” ve “dev” gibi önekleri içeren çekirdeğe benzer genel adlar koyar ve kötü amaçlı kodun meşru çekirdek işlemlerinden ayırt edilemez görünmesini sağlar.
Modül parçalanması üçüncü kaçınma stratejisini temsil eder. Araştırmacılar, yekpare bir çekirdek nesne dosyası dağıtmak yerine, derlenmiş modülü, yalnızca yükleme işlemi sırasında bellekte yeniden birleştirilen şifrelenmiş parçalara bölerler.
Parçalar XOR kodlamasına tabi tutulur ve memfd_create aracılığıyla oluşturulan özel bir bellek dosyası tanımlayıcı aracılığıyla yüklenir, böylece modülün tamamının statik analiz için asla diskte görünmemesini sağlar.
Dördüncü teknik, tespit sistemlerinin özellikle izlediği çerçeve işlevlerini yeniden adlandırarak ftrace yardımcısını gizlemeye odaklanır.
“fh_install_hook” ve “fh_remove_hook” gibi işlevler, tam işlevsellik korunurken rastgele tanımlayıcılarla değiştirilir.
Rootkit, hat içi derleme yoluyla doğrudan sistem çağrılarını kullanarak geleneksel modül yükleme mekanizmalarını atlar ve uç nokta algılama sistemlerinin aktif olarak izlediği libc sarmalayıcılardan kaçınır.
Araştırma, davranışsal tespitin de benzer zorluklarla karşı karşıya olduğunu gösteriyor. Araştırmacılar, önce kötü amaçlı yükleri disk komut dosyalarına yazarak, ardından bunları şüpheli desenler içermeyen temiz komut satırlarıyla çalıştırarak ters kabuk tespitinden başarıyla kurtuldu.
Rootkit, sinyal tabanlı gizlemeyi kullanarak yürütülen süreçleri anında gizler ve davranışsal analiz araçlarının gerçek işlemleri tespit etmesini engeller.
Bu araştırma, çekirdek düzeyindeki tehditlere yönelik statik ve davranışsal algılama metodolojilerindeki temel zayıflıkları vurgulamaktadır.
Sistematik kaçınma, tehdit aktörleri yeni gizleme stratejileri geliştirirken imzaya dayalı yaklaşımların sürekli güncelleme gerektirdiğini gösteriyor.
Bulgular, algılama sistemlerinin, kalıp eşleştirmenin ötesinde, çoklu sistem katmanları arasında davranışsal korelasyon ve bellek adli bilimi de dahil olmak üzere daha karmaşık analiz tekniklerini uygulaması gerekliliğinin altını çiziyor.
Güvenlik ekipleri, çekirdek bütünlüğünün izlenmesine öncelik vermeli ve yalnızca uç nokta algılama çözümlerine güvenmek yerine birden fazla algılama yaklaşımını birleştiren derinlemesine savunma stratejileri uygulamalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.