Modern 6.x çekirdeklerini hedef alan gizlilik odaklı bir Linux Çekirdek Modülü (LKM) rootkit’i olan Singularity, aşağıdakiler gibi geleneksel çekirdek günlüğü arayüzleri yoluyla tespit edilmesini önleyen güçlü bir günlükten kaçınma özelliği ekledi: klogctl.
Savunmacılar için bir “son patron” rootkit’i olarak tasarlanan Singularity, tehlikeye atılmış sistemlerde görünmez kalmak için derin çekirdek kancası, gelişmiş günlük temizleme ve EDR kaçırma tekniklerine dikkat çekiyor.
6.8.0-79-generic ve 6.12 gibi çekirdekleri çalıştıran çağdaş dağıtımlar için geliştirilen Singularity, ftrace tabanlı sistem çağrısını ve işlev kancasını kullanarak tamamen çekirdek alanında çalışır.
Modül yüklendikten sonra kendini gizler, yeniden başlatma olmadan kaldırılamaz ve yaygın olay müdahale ve algılama iş akışlarını agresif bir şekilde etkisiz hale getirir.
Yazarının sloganı – “Adli tıpa biraz çalışma yapalım mı?” – projenin net hedefini yansıtıyor: Linux’ta DFIR ve tehdit avcılığı için çıtayı yükseltmek.
En son geliştirme, çekirdek günlüğü inceleme araçları aracılığıyla tespitin engellenmesine odaklanıyor. klogctl Ve /proc/kmsg.
Singularity, birden fazla günlük kaynağından gelen hassas dizelerin ve göstergelerin gerçek zamanlı filtrelenmesini gerçekleştirir. /proc/kmsg, /var/log/kern.log, syslog, auth.log, /proc/kallsyms, /proc/vmallocinfove çekirdek izleme yolları gibi /sys/kernel/debug/tracing/*.
“Singularity”, “Singularity”, “matheuz”, “zer0t”, “obliviate”, “kallsyms_lookup_name” veya “taint” gibi rootkit ile ilgili tanımlayıcılara yapılan tüm referanslar, kullanıcı alanına ulaşmadan önce kaldırılır ve bu, bağımlı analistlerin gözlerini kör eder. dmesg, journalctlveya üzerine kurulu araçlar klogctl Kötü amaçlı çekirdek etkinliğini tespit etmek için.
Singularity Linux Çekirdek Kök Takımı
Bu kütük temizleme işlemi, Singularity’nin daha geniş gizlilik cephaneliğinin yalnızca bir bileşenidir. Rootkit, tüm sürecin gizlenmesini destekler /proc, ps, top, htopve diğer izleme araçları, alt süreçleri otomatik olarak izler ve gizler. sched_process_fork izleme noktası.
Ayrıca yapılandırılabilir kalıplara, bloklara dayalı olarak dosya ve dizinleri de gizler. chdir gizli yollara yerleştirir ve TCP UDP bağlantılarını ve bağlantı noktalarını gizler. ss, netstat, lsofVe /proc/net/*.
Seçilen bir bağlantı noktasındaki ağ trafiği, ham yuva katmanında filtrelenir ve ICMP tarafından tetiklenen ters kabuk, tamamen gizli bir uzak kök oturumu sağlar.mkdir tekilliği
echo “gizli” > tekillik/data.txt.
Ayrıcalık yükseltme yerleşiktir. Saldırganlar, özel bir ortam değişkeni ayarlayarak (örneğin, bir kabuk başlatarak) kök kazanabilirler. MAGIC=mtz) veya belirli bir sinyal göndererek (örneğin kill -59 $$), hem arayanı UID 0’a yükseltir hem de yapılandırıldığında işlemi gizler.
Bu mekanizmalar özelleştirilebilir: operatörler, imza tabanlı algılama ve tehdit istihbaratı parmak izlerinden kaçınmak için “sihirli” sözcüğü, ICMP dizisini, gizli bağlantı noktasını, kalıpları, işlem adlarını ve iş parçacığı adlarını değiştirebilir.
Modern telemetri ve EDR araçlarına karşı koymak için Singularity, gözlemlenebilirlik mekanizmalarına agresif bir şekilde müdahale eder.
eBPF ile ilgili sistem çağrılarını yakalayıp bloke ederek izleme, kprobe ve LSM programlarının yüklenmesini engeller ve aşağıdaki gibi işlemleri engeller: BPF_PROG_LOAD, BPF_ITER_CREATE, BPF_PROG_GET_NEXT_IDVe BPF_RAW_TRACEPOINT_OPEN.
Ayrıca, izlemeyi devre dışı bırakma veya değiştirme girişimlerini şeffaf bir şekilde engelleyerek ftrace kontrolünü de korur. ftrace_enabledve aşağıdakiler için özel işleme içerir: io_uring-tabanlı bu korumaları atlatmaya yönelik girişimler.
Tracee, bpftrace, bpftool ve io_uring tabanlı monitörler gibi güvenlik araçları açıkça hedef alınmaktadır.
Uygulamada bu, Singularity’nin aşağıdakiler de dahil olmak üzere geniş bir yelpazedeki geleneksel ve modern algılama araçlarını atlamasını sağlar: unhide, chkrootkit, rkhuntersüreç ve dosya sistemi monitörleri, tcpdump ve Wireshark gibi paket analizörleri, modül inceleme araçları (lsmod, /proc/modules, /sys/module) ve halka açık örnek olay incelemelerinde belgelenen çeşitli Linux EDR çözümleri.
Azaltmalar
Yayınlanan bir örnek, Singularity’nin süreç gizleme, günlük temizleme ve telemetri kesintisini birleştirerek Elastic’in EDR yeteneklerini atlamak için nasıl kullanılabileceğini gösteriyor.
Yazar, derinliğine rağmen Tekilliğin tamamen tespit edilemez olmadığını belirtiyor ve kararlı adli tıp analistlerinin belirli koşullar altında hala iz bulabileceğini ima ediyor.
Ancak görünürlüğü engelleyerek klogctl ve ilgili günlük kanalları, denetim ve çekirdek mesajlarını agresif bir şekilde filtreleyen ve popüler gözlemlenebilirlik yollarını devre dışı bırakan rootkit, tespit çabalarını önemli ölçüde karmaşık hale getirir.
Savunmacılar için Singularity, Linux çekirdeği düzeyindeki tehditlerin hızla geliştiğini ve yalnızca kullanıcı alanı günlüklerine, standart araçlara veya korumasız eBPF/ftrace tabanlı algılamaya güvenmenin artık yeterli olmadığının kesin bir hatırlatıcısı olarak hizmet ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.