Sebuah kelompok peneliti telah menunjukkan Rootkit Linux bernama Singularity yang berhasil lolos dari deteksi Elastic Security EDR, menyoroti keterbatasan signifikan dalam deteksi tingkat kernel. Bukti konsep ini bukan sekadar teori: Ia menggabungkan teknik pengaburan dan penghindaran. untuk mengurangi ke nol sinyal-sinyal yang biasanya mengkhianati modul berbahaya.
Penemuan ini mengkhawatirkan tim keamanan Eropa, termasuk di Spanyol, karena Elastic biasanya memicu lebih dari 26 peringatan terhadap rootkit konvensional, dan dalam kasus ini, rootkit tersebut belum dipicu. Penelitian yang dipublikasikan untuk tujuan edukasi oleh 0xMatheuZ menunjukkan bahwa metode berbasis tanda tangan dan pola Mereka kalah melawan musuh yang menyempurnakan rekayasa mereka.
Cara mengakali Elastic EDR: teknik penghindaran utama
Keuntungan pertama Singularitas adalah pengaburan string waktu kompilasiMemecah literal sensitif (misalnya, "GPL" atau "kallsyms_lookup_name") menjadi potongan-potongan bersebelahan yang dapat dipahami oleh kompiler C. mengomposisi ulang secara otomatismencegah pemindai seperti YARA menemukan rangkaian berbahaya yang berkelanjutan tanpa mengorbankan fungsionalitas.
Secara paralel itu berlaku pengacakan nama simbolAlih-alih pengenal yang dapat diprediksi seperti hook_getdents atau hide_module, ia mengadopsi tag generik dengan awalan yang Mereka meniru kernel itu sendiri. (sys, kern, dev), mengaburkan jejak fungsi yang mencurigakan dan menonaktifkan aturan deteksi berbasis nama.
Langkah selanjutnya adalah fragmentasi modul dalam potongan terenkripsi yang hanya disusun kembali di memori. Fragmen-fragmen tersebut dikodekan dengan XOR dan pemuat menggunakan memfd_create untuk menghindari meninggalkan sisa-sisa di disk; saat memasukkannya, ia menggunakan panggilan sistem langsung (termasuk finit_module) menggunakan assembler sebaris, menghindari pembungkus libc yang dipantau oleh banyak EDR.
Ini juga menyamarkan pembantu ftrace: fungsi yang biasanya dipantau (seperti fh_install_hook atau fh_remove_hook) adalah mengganti nama dengan cara deterministik dengan pengenal acak, mempertahankan perilakunya tetapi melanggar Tanda tangan elastis yang menargetkan rootkit generik.
Pada tingkat perilaku, para peneliti menghindari aturan shell terbalik dengan terlebih dahulu menulis muatan ke disk dan kemudian mengeksekusinya dengan Baris perintah “Bersih”Lebih jauh lagi, rootkit segera menyembunyikan proses yang sedang berjalan menggunakan sinyal tertentu, sehingga mempersulit korelasi. antara peristiwa dan aktivitas nyata.
Kemampuan dan risiko rootkit untuk lingkungan Eropa
Selain penghindaran, Singularitas juga memiliki fungsi ofensif: ia dapat sembunyikan proses di /proc, menyembunyikan file dan direktori yang terkait dengan pola seperti "singularitas" atau "matheuz", dan menyamarkan koneksi TCP (misalnya, pada port 8081). Ini juga memungkinkan peningkatan hak istimewa melalui sinyal khusus atau variabel lingkungan, dan menawarkan pintu belakang ICMP yang mampu mengaktifkan shell jarak jauh.
Proyek ini menambahkan pertahanan anti-analisis, memblokir jejak dan mensanitasi catatan untuk mengurangi kebisingan forensik. Loader dikompilasi secara statis dan dapat beroperasi di lokasi yang kurang terpantau, memperkuat rantai eksekusi di mana seluruh modul tidak pernah menyentuh disk Dan karena itu, analisis statis kehabisan materi.
Bagi organisasi di Spanyol dan negara-negara Eropa lainnya yang mengandalkan Elastic Defend, kasus ini memaksa mereka untuk meninjau aturan deteksi dan memperkuat pemantauan tingkat rendah. Kombinasi pengaburan, pemuatan memori, dan syscall langsung mengungkap permukaan di mana kontrol berbasis perilaku terbatas. Mereka tidak menangkap konteks kernel.
Tim SOC harus memprioritaskan pemantauan integritas kernel (misalnya, validasi LKM dan perlindungan terhadap pemuatan tidak sah), menggabungkan forensik memori dan Korelasi sinyal eBPF dengan telemetri sistem, dan menerapkan pertahanan mendalam yang menggabungkan heuristik, daftar putih, pengerasan dan pembaruan tanda tangan yang berkelanjutan.
Dalam lingkungan kritis, disarankan untuk memperkuat kebijakan untuk mengurangi permukaan serangan: batasi atau nonaktifkan kemampuan untuk memuat modul, perkuat kebijakan keamanan, dan kemampuan (CAP_SYS_MODULE)Pantau penggunaan memfd_create dan validasi anomali pada nama simbol. Semua ini dilakukan tanpa hanya mengandalkan EDR, tetapi dengan menggabungkan beberapa lapisan kontrol dan pemeriksaan silang.
Kasus Singularitas menunjukkan bahwa, ketika berhadapan dengan musuh yang menyempurnakan kebingungan mereka, para pembela harus berevolusi ke arah teknik analisis yang lebih mendalam Deteksi ancaman kernel yang andal melibatkan penambahan integritas, memori, dan korelasi tingkat lanjut ke EDR untuk mengurangi titik buta dan meningkatkan standar ketahanan.