Linux çekirdek sürümleri 6.x için tasarlanmış gelişmiş bir Linux çekirdeği rootkit’i olan Singularity, gelişmiş gizlilik mekanizmaları ve güçlü yetenekleri nedeniyle siber güvenlik topluluğunun büyük ilgisini çekti.
Bu çekirdek modülü, rootkit teknolojisinde endişe verici bir evrimi temsil ediyor ve mevcut tespit sistemlerine meydan okuyan birden fazla saldırı vektörü ve kapsamlı kaçınma teknikleri sunuyor.
Rootkit, Linux Çekirdek Modülü (LKM) mimarisini kullanarak çekirdek düzeyinde çalışır, bu da tespit edilmesini ve kaldırılmasını son derece zorlaştırır.
Güvenlik araştırmacısı MatheuZSecurity tarafından oluşturulan Singularity, sistem çağrılarını bağlamak için ftrace altyapısından yararlanarak saldırganlara Linux sistemleri üzerinde tam kontrol sağlarken güvenlik araçlarına ve yöneticilere görünmez kalır.
Singularity, süreç gizlemeyi, dosya gizlemeyi ve ağ gizliliğini tek bir birleşik platformda birleştirir. Kötü amaçlı yazılım, çalışan tüm işlemleri gizleyebilir, dizin listelerinden dosyaları kaldırabilir, ağ bağlantılarını maskeleyebilir ve ayrıcalıkları anında root’a yükseltebilir.
Çekirdek düzeyindeki çalışması, gerçek zamanlı günlük filtrelemeye olanak tanıyarak, sistem günlüklerinde veya çekirdek hata ayıklama çıktısında varlığının izlerinin görünmesini önler.
GitHub analistleri ve araştırmacıları Singularity’nin, uç nokta algılama ve yanıt (EDR) çözümleri de dahil olmak üzere kurumsal güvenlik araçlarını atlamak için özel olarak tasarlanmış birçok benzeri görülmemiş özellik sunduğunu belirtti.
Rootkit, eBPF tabanlı güvenlik izlemeyi engelleyen, io_uring korumalarını devre dışı bırakan ve yasal çekirdek modülü yüklemesini önleyen mekanizmalar içerir ve algılamaya karşı birden fazla engel oluşturur.
Gelişmiş yetenekler sunar
Kötü amaçlı yazılım, ICMP tarafından tetiklenen bir ters kabuk aracılığıyla uzaktan erişim sağlar. Saldırganlar, netstat, tcpdump ve paket analizörleri gibi ağ izleme araçları tarafından tamamen görünmez kalan gizli komut ve kontrol bağlantıları kurmak için sihirli bir dizi içeren özel hazırlanmış ICMP paketleri gönderebilir.
Bu kanal aracılığıyla oluşturulan tüm alt işlemler otomatik olarak gizleme özelliklerini devralır.
Singularity’nin tespitten kaçınması basit saklanmanın ötesine geçer. Rootkit, ftrace’i devre dışı bırakma girişimlerini aktif olarak yakalar ve filtreler, esasen Linux’un birincil izleme çerçevelerinden birini etkisiz hale getirir.
Write, splice, sendfile ve copy_file_range dahil olmak üzere dosya G/Ç ile ilgili 15’ten fazla hassas sistem çağrısını izler.
Bu işlevlere erişmeye çalışan herhangi bir işlem, başarıyı belirten anında geri bildirim alırken, rootkit sessizce gerçek yürütmeyi engeller.
.webp)
Şüpheli çekirdek davranışını işaretleyen çekirdek kusur mekanizması, Singularity’nin tainted_mask temizleme iş parçacığı tarafından sürekli olarak normalleştirilir. Bu, adli analistlerin yetkisiz çekirdek değişikliklerini tespit etmesini önler.
Singularity, kusur, günlük ve kallsyms_lookup_name gibi anahtar kelimeleri filtreleyen agresif günlük temizleme özelliğiyle birleştiğinde, güvenliği ihlal edilmiş sistemlerde çalıştığına dair neredeyse hiçbir adli kanıt bırakmaz.
Testler, rootkit’in; unhide, chkrootkit ve rkhunter gibi standart algılama araçlarını başarılı bir şekilde atladığını ortaya koyuyor.
Çoklu mimarilerle (x64 ve ia32) uyumluluğu ve çeşitli çekirdek sürümlerine yönelik desteği, onu çeşitli Linux dağıtımlarında esnek bir tehdit haline getiriyor.
Güvenlik ekipleri, Linux güvenlik duruşlarını değerlendirirken bu bulguları kritik olarak değerlendirmelidir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
