Linux çekirdek güvenliğindeki son zamanlarda yapılan bir gelişme, kendini gizleyebilecek bir kötü amaçlı yazılım ve sistem yöneticilerinden diğer kötü amaçlı faaliyetler olan rootkitleri tespit etmek için tasarlanmış pas tabanlı bir çekirdek modülünün oluşturulmasına yol açmıştır.
Thalium’daki stajın bir parçası olan bu proje, Linux sistemlerinde IoT cihazları ve güvenlik açısından kritik sunucular da dahil olmak üzere çeşitli ortamlarda yaygın olarak kullanılan kötü amaçlı yazılım algılama yeteneklerini geliştirmeye odaklanmaktadır.
Arka plan ve motivasyon
Sağlam kötü amaçlı yazılım algılama araçlarına duyulan ihtiyaç, Linux sistemlerinin saldırganlar için hedef olarak yaygınlığıyla vurgulanmaktadır.
Özellikle rootkits, tehlikeye atılan sistemlere kalıcı erişimi sürdürme yetenekleri nedeniyle önemli bir tehdit oluşturmaktadır.
Rootkit algılama için mevcut açık kaynaklı araçlar genellikle modası geçmiş ve daha az etkilidir, bu da daha modern çözümlerin geliştirilmesini sağlar.
Bu çekirdek modülünü geliştirmek için pas kullanımı stratejiktir, çünkü geleneksel C’ye kıyasla daha iyi bellek güvenliği garantileri sunar ve Crowdstrike olayında görülenler gibi felaket hataları riskini azaltır.
Tespit teknikleri
Rapora göre, yeni modül, çekirdek köklerini tanımlamak için birkaç algılama tekniğinden yararlanıyor.
Çekirdek modüllerinin yüklenmesini izler. init_module Çekirdeğe kodu yüklemek için birincil yöntem olan Syscall.
Problayarak do_init_module fonksiyon, modül potansiyel rootkits dahil yüklü modülleri algılayabilir ve analiz edebilir.
Bununla birlikte, rootkits algılamadan kaçınmak için karmalarını kolayca değiştirebildiğinden, ek kontroller gereklidir.
Modül, çekirdek modülleri tarafından kullanılan kayıt yapılarının tutarlılığını doğrular, örneğin mod_list– mod_treeVe mkobjbir rootkitin varlığını gösterebilecek tutarsızlıkları tanımlamak.
Ayrıca, modül izleme API’leri, özellikle de fprobe API, çekirdek işlevlerini izlemek ve şüpheli davranışları tespit etmek.
Ayrıca, Rootkits’in faaliyetlerini gizlemek için kullanabileceği çekirdek sembollerine dolaylı çağrılar kontrol eder.
Modül, yığın izlerini analiz ederek ve çekirdek modüllerinden kaynaklanan çağrıları tanımlayarak, geleneksel algılama yöntemlerini atlamaya çalıştıklarında bile kök soklarını algılayabilir.
Bu pas bazlı modül, rootkit tespitinde ileriye doğru önemli bir adımı temsil ederken, zorluklar devam etmektedir.
Çekirdek seviyesi rootkits, izleme aracının farkındaysa tespiti potansiyel olarak atlayabilir.
Gelecekteki gelişmeler, tespit yeteneklerini hipervizör düzeyinde entegre etmeyi veya gelişen kötü amaçlı yazılım tehditlerinin önünde kalmak için diğer yenilikçi yaklaşımları araştırmayı içerebilir.
Çekirdek modülü geliştirme için pas kullanımının devam etmesi beklenmektedir ve kritik güvenlik araçları oluşturmak için daha güvenli ve daha güvenilir bir çerçeve sunmaktadır.
SOC ve DFIR takımlarından mısınız? Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> 14 gün ücretsiz erişim alın