Siber güvenlik manzarası, sofistike bir rootkit varyasyonunun ortaya çıkmasına tanık oldu, FlipswitchModern Linux çekirdeklerini hedefleme. Eylül 2025’in sonlarında ilk yüzey düzenleyen Flipswitch, Syscall’da gizli kancaları doğrudan çekirdek koduna implante etmek için gönderilen son değişiklikleri kullanıyor.
İlk göstergeler, saldırganların kritik altyapı ve bulut ortamlarından ödün vererek geleneksel tespitten kaçınmak için bu yeni yaklaşımdan yararlandığını göstermektedir.
Kuruluşlar sistemlerini yamalamak ve izlemek için yarıştıkça Flipswitch, çekirdek sertleştirme çabaları ve düşman yeniliği arasındaki gelişen kedi ve fare dinamiğinin altını çiziyor.
Flipswitch’in gelişi, klasiğin yerini alan Linux çekirdeği 6.9’un benimsenmesini takip ediyor syscall_table İçindeki bir anahtar uyarısı ile dizi araması x64_syscall işlev.
Bu değişiklik geleneksel işaretçi yazım yöntemlerini kapatırken, yanlışlıkla yeni bir saldırı yüzeyi getirdi.
Elastik analistler, Flipswitch’in bu çok dönüşümden yararlandığını, güncellenmiş savunmalar yoluyla bir yol oluşturduğunu ve rakiplerin sistem çağrılarını istedikleri zaman yeniden yönlendirme yeteneğini geri yüklediğini belirtti.
Elastik araştırmacılar, sertleştirilmiş ortamlarda anormal syscall’ları gözlemledikten sonra flipswitch’i tanımladılar ve bunları meşru çekirdek modüllerinde gizlenmiş bir kavram kanıtı modülüne bağladılar.
Dikkatli ters mühendislik yoluyla, analistler rootkit’in yaklaşımını ortaya çıkardılar: kullanımdan kaldırılmış sevk tabloları ile kurcalamak yerine Flipswitch, derlenmiş makine kodunu yamalar x64_syscall Dispatcher’ın kendisi, çekirdeğin veri yapılarını değiştirmeden kancayı çalışma zamanında çevirir.
Veri yapısı yolsuzluğuna dayanan önceki rootkitlerin aksine, Flipswitch’in mekanizması oldukça hassastır.
Ham baytlarını tarayarak x64_syscall Bir hedef syscall’ı çağıran çağrı talimatına karşılık gelen benzersiz opcode deseni için, rootkit tek bir ekleme noktası bulur.
Ardından, CR0 kaydındaki WP bitini temizleyerek, yürütmeyi kötü amaçlı bir geri çağrıya yönlendirmek için çağrının göreceli ofsetinin üzerine yazarak CPU düzeyinde bellek yazma korumalarını devre dışı bırakır.
Kötü niyetli kod yürütüldükten sonra, orijinal Syscall davranışı, yazma koruması ve ofsetin geri döndürülmesi ve minimum adli artefaktlar bırakarak geri yüklenir.
Enfeksiyon mekanizması ve kalıcılık
FlipSwitch, görünüşte iyi huylu bir çekirdek modülüne gömülü iki aşamalı bir yükleyici aracılığıyla ilk çekirdek uzay tabanını elde eder.
Modül yerleştirme üzerine, yükleyici, adresini türetmek için güvenilir bir çekirdek işlevinden bir kprobe kullanır. kallsyms_lookup_nameihraç edilmemiş statüsünü atlatıyor.
Bu adresle, yükleyici her iki hedef syscall’lara işaretçi alır (örneğin, sys_kill) ve x64_syscall dağıtıcı. Daha sonra kesin çağrı talimatını bulmak için bir yardımcı işlevi çağırıyor:-
static inline void disable_write_protection(void) {
unsigned long cr0 = read_cr0();
write_cr0(cr0 & ~X86_CR0_WP);
}
static inline void enable_write_protection(void) {
unsigned long cr0 = read_cr0();
write_cr0(cr0 | X86_CR0_WP);
}
void apply_flipswitch_hook(void *dispatcher, unsigned long target) {
disable_write_protection();
// Overwrite 4-byte offset at hook_offset to point to fake_kill
*(int32_t *)(dispatcher + hook_offset + 1) = calc_relative(target, hook_offset);
enable_write_protection();
}Yama yaptıktan sonra, FlipSwitch yükleyicisini boşaltarak, çekirdeğin yazma koruma ayarlarını geri yükler ve sadece değiştirilmiş talimatı bellekte bırakır.
Bu iki aşamalı işlem hem gizli hem de kalıcılığı sağlar: yükleyicinin ayak izi yürütüldükten sonra kaybolur ve kanca çekirdek modülü kaldırılana veya sistem yeniden başlatılana kadar aktif kalır.
FlipSwitch’in gelişimi, gelişmiş bellek entegre izleme ihtiyacını ve tetik içi güvenlik mekanizmalarının sürekli evrimini vurgulamaktadır.
Savunucular uyum sağladıkça, Rootkit yazarları şüphesiz onları yıkmak için yeni yollar arayacak ve katmanlı tespit ve proaktif tehdit avı için zorunluluğu güçlendirecekler.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
