Το Singularity, ένα εξελιγμένο rootkit πυρήνα Linux που έχει σχεδιαστεί για εκδόσεις πυρήνα Linux 6.x, έχει κερδίσει σημαντική προσοχή από την κοινότητα της κυβερνοασφάλειας για τους προηγμένους μηχανισμούς μυστικότητας και τις ισχυρές δυνατότητές του.
Αυτή η ενότητα πυρήνα αντιπροσωπεύει μια ανησυχητική εξέλιξη στην τεχνολογία rootkit, προσφέροντας πολλαπλά διανύσματα επίθεσης και ολοκληρωμένες τεχνικές αποφυγής που προκαλούν τα τρέχοντα συστήματα ανίχνευσης.
Το rootkit λειτουργεί σε επίπεδο πυρήνα χρησιμοποιώντας την αρχιτεκτονική Linux Kernel Module (LKM), γεγονός που καθιστά εξαιρετικά δύσκολο τον εντοπισμό και την αφαίρεση.
Δημιουργημένο από τον ερευνητή ασφαλείας MatheuZSecurity, το Singularity αξιοποιεί την υποδομή ftrace για να συνδέσει κλήσεις συστήματος, δίνοντας ουσιαστικά στους εισβολείς πλήρη έλεγχο των συστημάτων Linux, ενώ παραμένει αόρατος στα εργαλεία ασφαλείας και τους διαχειριστές.
Το Singularity συνδυάζει την απόκρυψη διεργασιών, την απόκρυψη αρχείων και τη μυστικότητα δικτύου σε μια ενιαία πλατφόρμα. Το κακόβουλο λογισμικό μπορεί να κρύψει οποιαδήποτε διεργασία που εκτελείται, να αφαιρέσει αρχεία από τις λίστες καταλόγων, να κρύψει τις συνδέσεις δικτύου και να κλιμακώσει άμεσα τα δικαιώματα στο root.
Η λειτουργία του σε επίπεδο πυρήνα επιτρέπει το φιλτράρισμα αρχείων καταγραφής σε πραγματικό χρόνο, αποτρέποντας την εμφάνιση ιχνών της παρουσίας του στα ημερολόγια του συστήματος ή στην έξοδο εντοπισμού σφαλμάτων του πυρήνα.
Αναλυτές και ερευνητές του GitHub διάσημος ότι το Singularity εισάγει πολλά πρωτοφανή χαρακτηριστικά που έχουν σχεδιαστεί ειδικά για να παρακάμπτουν τα εργαλεία ασφάλειας της επιχείρησης, συμπεριλαμβανομένων των λύσεων ανίχνευσης και απόκρισης τελικού σημείου (EDR).
Το rootkit περιλαμβάνει μηχανισμούς για τον αποκλεισμό της παρακολούθησης ασφαλείας που βασίζεται σε eBPF, την απενεργοποίηση των προστασιών io_uring και την αποτροπή της νόμιμης φόρτωσης της μονάδας πυρήνα, δημιουργώντας πολλαπλά εμπόδια στην ανίχνευση.
Προσφέρει εξελιγμένες δυνατότητες
Το κακόβουλο λογισμικό παρέχει απομακρυσμένη πρόσβαση μέσω ενός αντίστροφου κελύφους που ενεργοποιείται από ICMP. Οι εισβολείς μπορούν να στείλουν πακέτα ICMP που έχουν δημιουργηθεί ειδικά σχεδιασμένα που περιέχουν μια μαγική ακολουθία για να δημιουργήσουν κρυφές συνδέσεις εντολών και ελέγχου που παραμένουν εντελώς αόρατες για εργαλεία παρακολούθησης δικτύου όπως netstat, tcpdump και αναλυτές πακέτων.
Όλες οι θυγατρικές διεργασίες που δημιουργούνται μέσω αυτού του καναλιού κληρονομούν αυτόματα τις ιδιότητες απόκρυψης.
Η διαφυγή ανίχνευσης του Singularity ξεπερνά την απλή απόκρυψη. Το rootkit παρεμποδίζει ενεργά και φιλτράρει τις προσπάθειες απενεργοποίησης του ftrace, εξουδετερώνοντας ουσιαστικά ένα από τα κύρια πλαίσια παρακολούθησης του Linux.
Παρακολουθεί περισσότερα από 15 ευαίσθητα syscals που σχετίζονται με αρχεία I/O, συμπεριλαμβανομένης της εγγραφής, του splice, του sendfile και του copy_file_range.
Οποιαδήποτε διαδικασία προσπαθεί να αποκτήσει πρόσβαση σε αυτές τις λειτουργίες λαμβάνει άμεση ανατροφοδότηση που υποδεικνύει επιτυχία, ενώ το rootkit αποτρέπει σιωπηλά την πραγματική εκτέλεση.
.webp.jpeg "Singularity Linux Kernel Rootkit με νέα δυνατότητα που αποτρέπει τον εντοπισμό")
Ο μηχανισμός κηλίδωσης του πυρήνα, ο οποίος επισημαίνει την ύποπτη συμπεριφορά του πυρήνα, κανονικοποιείται συνεχώς από το νήμα καθαρισμού tainted_mask του Singularity. Αυτό εμποδίζει τους εγκληματολογικούς αναλυτές να εντοπίσουν μη εξουσιοδοτημένες τροποποιήσεις πυρήνα.
Σε συνδυασμό με την επιθετική απολύμανση των αρχείων καταγραφής που φιλτράρει λέξεις-κλειδιά, όπως το taint, το journal και το kallsyms_lookup_name, το Singularity δεν αφήνει σχεδόν κανένα ιατροδικαστικό στοιχείο για τη λειτουργία του σε παραβιασμένα συστήματα.
Η δοκιμή αποκαλύπτει ότι το rootkit παρακάμπτει με επιτυχία τα τυπικά εργαλεία ανίχνευσης, συμπεριλαμβανομένων των unhide, chkrootkit και rkhunter.
Η συμβατότητά του με πολλές αρχιτεκτονικές —x64 και ia32— και η υποστήριξη για διάφορες εκδόσεις πυρήνα το καθιστούν ευέλικτη απειλή σε διάφορες αναπτύξεις Linux.
Οι ομάδες ασφαλείας θα πρέπει να θεωρούν αυτά τα ευρήματα κρίσιμα κατά την αξιολόγηση της στάσης ασφαλείας τους στο Linux.
Related Posts
Τα τρωτά σημεία NVIDIA Merlin επιτρέπουν στους εισβολείς να εκτελούν κακόβουλο κώδικα και να ενεργοποιούν την κατάσταση DoS
Κρίσιμες ευπάθειες του SolarWinds Serv-U επιτρέπουν στους εισβολείς να εκτελούν τον κακόβουλο κώδικα από απόσταση ως διαχειριστής
Το νέο Multi-Platform 01flip Ransomware υποστηρίζει αρχιτεκτονική πολλαπλών πλατφορμών, συμπεριλαμβανομένων των Windows και του Linux
