Sofistike Linux kötü amaçlı yazılımlara karşı devam eden savaşta çığır açan bir güvenlik aracı ortaya çıktı.
Bu özellikle zor tehditleri tanımlamak için gelişmiş yetenekler sunan kökkitleri tespit etmek için özel olarak tasarlanmış yeni bir pas tabanlı çekirdek modülü yayınlandı.
Modül, Linux güvenlik araçlarında önemli bir ilerlemeyi temsil ederek, giderek daha sofistike çekirdek seviyesi tehditlerine karşı modern algılama mekanizmalarına yönelik kritik ihtiyacı ele alıyor.
Linux Systems, IoT cihazlarından kritik sunuculara kadar her şeyi güçlendirerek onları kalıcı erişim isteyen saldırganlar için birincil hedefler haline getirir.
Kendilerini işletim sistemine derinlemesine yerleştirerek gizliliği koruyan rootkits, varlıklarını standart algılama araçlarından ve yöneticilerinden gizleme yetenekleri nedeniyle en tehlikeli kötü amaçlı yazılım biçimlerinden birini temsil eder.
Yeni algılama modülü, geleneksel güvenlik çözümlerinin sıklıkla kaçırdığı çekirdek düzeyinde tehditlerle mücadele etmek için odaklanmış bir araştırma çabasının bir parçası olarak geliştirilmiştir.
Rootkits genellikle kendi kendine uyum, veri gizleme, ters kabuk erişimi ve önyükleme kalıcılığı gibi özellikler sunar-bu da onları kurulduktan sonra özellikle tehlikeli hale getirir.
Talium araştırmacıları, Linux için mevcut rootkit algılama çözümlerinin modern tehditlere karşı modası geçmiş ve daha az etkili olduğunu belirlediler.
Onların yaklaşımı, tespit yeteneklerini en üst düzeye çıkarmak için çekirdek işlemlerinin daha yüksek ayrıcalık seviyesinden yararlanırken, kötü amaçlı kod aynı ayrıcalık düzeyinde çalıştığında doğal zorlukları kabul eder.
Aracın C yerine Pas’taki gelişimi çekirdek modülü programlamasında önemli bir değişimi temsil eder.
Çekirdek düzeyinde yazılım hatalarının ne kadar kritik olabileceğini vurgulayan 2023 Crowdstrike olayının ardından, araştırmacılar hafıza güvenliği garantileri ve güçlü tip sistemi için Rust’u seçti-performansı korurken felaket hataları riskini azalttı.
Modül Adresi Alan Taraması aracılığıyla Gelişmiş Algılama
Modülde uygulanan özellikle yenilikçi bir algılama tekniği, çekirdek modülü adres alanının kaba çalışmasını içerir.
Yaklaşım, Linux’un yüklenebilir çekirdek modülleri (LKM’ler) için belleği belirli bir adres aralığında nasıl tahsis ettiğini, öngörülebilir bir iç yapı ile kullanıyor.
.webp)
Algılama algoritması, bilinen geçerli alan kısıtlamalarına dayanarak geçerli yapı modülü modellerini arayan bu adres aralığı aracılığıyla tekrarlanır.
Örneğin, potansiyel modül yapılarını analiz ederken, araç şunları doğrular:
// Simplified pseudocode for validating module structures
if state >= 0 && state 0 {
// Potential hidden module found
}Bu teknik, kendilerini standart çekirdek kayıt yapılarından çıkararak gizlemeye çalışan Kovid ve sürüngen gibi köklerini başarıyla tanımlar.
Şüpheli çekirdek sembolü arama ve satır içi kanca algılama kontrolleri ile birleştirildiğinde, araç bugün vahşi doğada kullanılan en yaygın rootkit tekniklerine karşı kapsamlı bir koruma sağlar.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free