மீள் EDR ஐத் தவிர்க்கும் லினக்ஸ் ரூட்கிட்: ஒருமைப்பாடு வெளிப்பட்டது

  • மேம்பட்ட நுட்பங்களைப் பயன்படுத்தி எலாஸ்டிக் EDR ஐத் தவிர்க்கும் திறன் கொண்ட லினக்ஸ் ரூட்கிட்டான சிங்குலாரிட்டியை ஆராய்ச்சியாளர்கள் வழங்குகிறார்கள்.
  • முக்கிய உத்திகள்: சரம் தெளிவின்மை, குறியீட்டு சீரற்றமயமாக்கல், துண்டு துண்டாக மாற்றுதல் மற்றும் நினைவக ஏற்றுதல், மற்றும் நேரடி சிஸ்கல்கள்.
  • தீங்கிழைக்கும் செயல்பாடுகள்: செயல்முறைகள், கோப்புகள் மற்றும் இணைப்புகளை மறைத்தல், ICMP பின்கதவு மற்றும் சலுகை அதிகரிப்பு.
  • ஐரோப்பா மற்றும் ஸ்பெயின் மீதான தாக்கம்: கர்னல் ஒருமைப்பாட்டைக் கண்காணித்து, நினைவக தடயவியல் மூலம் ஆழமான பாதுகாப்பைப் பயன்படுத்துவதற்கான அவசரத் தேவை.
Isaac

4 நிமிடங்கள்

லினக்ஸ் ரூட்கிட் எலாஸ்டிக் EDR ஐத் தவிர்க்கிறது

ஆராய்ச்சியாளர்கள் குழு ஒன்று காட்டியுள்ளது a சிங்குலாரிட்டி எனப்படும் லினக்ஸ் ரூட்கிட் இது எலாஸ்டிக் செக்யூரிட்டி EDR ஆல் கண்டறியப்படாமல் போகிறது, இது கர்னல்-நிலை கண்டறிதலில் குறிப்பிடத்தக்க வரம்புகளை எடுத்துக்காட்டுகிறது. இந்த கருத்துருவின் ஆதாரம் வெறும் தத்துவார்த்தமானது அல்ல: இது தெளிவின்மை மற்றும் தவிர்ப்பு நுட்பங்களை ஒருங்கிணைக்கிறது. பொதுவாக ஒரு தீங்கிழைக்கும் தொகுதியைக் காட்டிக் கொடுக்கும் சமிக்ஞைகளை பூஜ்ஜியமாகக் குறைக்க.

இந்தக் கண்டுபிடிப்பு ஸ்பெயின் உட்பட ஐரோப்பிய பாதுகாப்பு குழுக்களை கவலையடையச் செய்கிறது, ஏனெனில் எலாஸ்டிக் பொதுவாக 26 க்கும் மேற்பட்ட விழிப்பூட்டல்களைத் தூண்டும். வழக்கமான ரூட்கிட்களுக்கு எதிராக, இந்த விஷயத்தில், அவை தூண்டப்படவில்லை. 0xMatheuZ ஆல் கல்வி நோக்கங்களுக்காக வெளியிடப்பட்ட ஆராய்ச்சி, கையொப்பம் மற்றும் வடிவ அடிப்படையிலான முறைகள் தங்கள் பொறியியலை மேம்படுத்தும் எதிரிகளுக்கு எதிராக அவர்கள் தோல்வியடைகிறார்கள்.

எலாஸ்டிக் EDR-ஐ எப்படி விஞ்சுவது: முக்கிய ஏய்ப்பு நுட்பங்கள்

லினக்ஸில் EDR ஏய்ப்பு

ஒருமைத்தன்மையின் முதல் நன்மை என்னவென்றால் தொகுத்தல்-நேர சர தெளிவின்மைஉணர்திறன் வாய்ந்த எழுத்துக்களை (எ.கா., "GPL" அல்லது "kallsyms_lookup_name") C தொகுப்பி புரிந்துகொள்ளக்கூடிய தொடர்ச்சியான துண்டுகளாகப் பிரிக்கிறது. தானாகவே மீண்டும் இயற்றுகிறதுYARA போன்ற ஸ்கேனர்கள் செயல்பாட்டை தியாகம் செய்யாமல் தொடர்ச்சியான தீங்கிழைக்கும் சரங்களைக் கண்டுபிடிப்பதைத் தடுக்கிறது.

இணையாக இது பொருந்தும் சின்னப் பெயர்களின் சீரற்றமயமாக்கல்hook_getdents அல்லது hide_module போன்ற கணிக்கக்கூடிய அடையாளங்காட்டிகளுக்குப் பதிலாக, இது முன்னொட்டுகளுடன் கூடிய பொதுவான குறிச்சொற்களை ஏற்றுக்கொள்கிறது, அதாவது அவை கருவையே பிரதிபலிக்கின்றன. (sys, kern, dev), சந்தேகத்திற்கிடமான செயல்பாடுகளின் தடத்தை மங்கலாக்குதல் மற்றும் பெயர் சார்ந்த கண்டறிதல் விதிகளை நிராயுதபாணியாக்குதல்.

அடுத்த நகர்வு என்பது தொகுதி துண்டாக்குதல் நினைவகத்தில் மட்டுமே மீண்டும் இணைக்கப்படும் மறைகுறியாக்கப்பட்ட துண்டுகளில். துண்டுகள் XOR உடன் குறியாக்கம் செய்யப்படுகின்றன, மேலும் ஒரு ஏற்றி வட்டில் எச்சங்களை விட்டுச் செல்வதைத் தவிர்க்க memfd_create ஐப் பயன்படுத்துகிறது; அதைச் செருகும்போது, ​​அது நேரடி அமைப்பு அழைப்புகள் (finit_module உட்பட) இன்லைன் அசெம்பிளரைப் பயன்படுத்தி, பல EDRகள் கண்காணிக்கும் libc ரேப்பர்களைத் தடுக்கிறது.

இது ftrace துணைப் பொருட்களையும் உருமறைக்கிறது: பொதுவாக கண்காணிக்கப்படும் செயல்பாடுகள் (fh_install_hook அல்லது fh_remove_hook போன்றவை) ஒரு தீர்மானகரமான வழியில் மறுபெயரிடுங்கள் சீரற்ற அடையாளங்காட்டிகளுடன், அவற்றின் நடத்தையைப் பராமரித்தல் ஆனால் உடைத்தல் பொதுவான ரூட்கிட்களை இலக்காகக் கொண்ட மீள் கையொப்பங்கள்.

நடத்தை மட்டத்தில், ஆராய்ச்சியாளர்கள் முதலில் பேலோடை வட்டில் எழுதி, பின்னர் அதை செயல்படுத்துவதன் மூலம் தலைகீழ் ஷெல் விதிகளைத் தவிர்க்கிறார்கள் "சுத்தம்" கட்டளை வரிகள்மேலும், ரூட்கிட் குறிப்பிட்ட சிக்னல்களைப் பயன்படுத்தி இயங்கும் செயல்முறைகளை உடனடியாக மறைத்து, தொடர்பை சிக்கலாக்குகிறது. நிகழ்வுகளுக்கும் உண்மையான செயல்பாட்டிற்கும் இடையில்.

ஐரோப்பிய சூழல்களுக்கான ரூட்கிட் திறன்கள் மற்றும் அபாயங்கள்

லினக்ஸில் ரூட்கிட்களின் அபாயங்கள்

ஏய்ப்புக்கு அப்பால், ஒருமைப்பாடு தாக்குதல் செயல்பாடுகளை உள்ளடக்கியது: அது முடியும் /proc இல் செயல்முறைகளை மறை, "singularity" அல்லது "matheuz" போன்ற வடிவங்களுடன் தொடர்புடைய கோப்புகள் மற்றும் கோப்பகங்களை மறைத்தல், மற்றும் TCP இணைப்புகளை மறை (எடுத்துக்காட்டாக, போர்ட் 8081 இல்). இது சலுகை அதிகரிப்பையும் செயல்படுத்துகிறது தனிப்பயன் சமிக்ஞைகள் அல்லது சுற்றுச்சூழல் மாறிகள், மற்றும் ரிமோட் ஷெல்களை செயல்படுத்தும் திறன் கொண்ட ICMP பின்புற கதவை வழங்குகிறது.

இந்த திட்டம் பகுப்பாய்வு எதிர்ப்பு பாதுகாப்புகளைச் சேர்க்கிறது, தடயங்களைத் தடுக்கிறது மற்றும் பதிவுகளை சுத்தப்படுத்துதல் தடயவியல் இரைச்சலைக் குறைக்க. ஏற்றி நிலையான முறையில் தொகுக்கப்பட்டுள்ளது மற்றும் குறைவான கண்காணிக்கப்பட்ட இடங்களில் செயல்பட முடியும், இது ஒரு செயல்படுத்தல் சங்கிலியை வலுப்படுத்துகிறது, இதில் முழு தொகுதியும் வட்டைத் தொடாது. எனவே, நிலையான பகுப்பாய்வு பொருள் தீர்ந்து போகிறது.

ஸ்பெயின் மற்றும் ஐரோப்பாவின் பிற பகுதிகளில் உள்ள எலாஸ்டிக் டிஃபெண்டை நம்பியுள்ள நிறுவனங்களுக்கு, இந்த வழக்கு அவர்களை கட்டாயப்படுத்துகிறது கண்டறிதல் விதிகளை மதிப்பாய்வு செய்யவும் மற்றும் குறைந்த-நிலை கண்காணிப்பை வலுப்படுத்துதல். தெளிவின்மை, நினைவக ஏற்றுதல் மற்றும் நேரடி சி.சி.கல் ஆகியவற்றின் கலவையானது நடத்தை அடிப்படையிலான கட்டுப்பாடுகள் குறைவாக உள்ள ஒரு மேற்பரப்பை வெளிப்படுத்துகிறது. அவை கர்னல் சூழலைப் பிடிக்கவில்லை..

SOC குழுக்கள் முன்னுரிமை அளிக்க வேண்டும் கர்னல் ஒருமைப்பாடு கண்காணிப்பு (எடுத்துக்காட்டாக, LKM சரிபார்ப்பு மற்றும் அங்கீகரிக்கப்படாத ஏற்றுதலுக்கு எதிரான பாதுகாப்புகள்), நினைவக தடயவியல் மற்றும் eBPF சமிக்ஞை தொடர்பு கணினி டெலிமெட்ரியுடன், மற்றும் ஹியூரிஸ்டிக்ஸ், வெள்ளைப்பட்டியல், கடினப்படுத்துதல் மற்றும் ஆகியவற்றைக் கலக்கும் ஆழமான பாதுகாப்பைப் பயன்படுத்துங்கள். கையொப்பங்களைத் தொடர்ந்து புதுப்பித்தல்.

முக்கியமான சூழல்களில், தாக்குதல் மேற்பரப்பைக் குறைக்க கொள்கைகளை வலுப்படுத்துவது நல்லது: தொகுதிகளை ஏற்றும் திறனைக் கட்டுப்படுத்துதல் அல்லது முடக்குதல், பாதுகாப்புக் கொள்கைகளை வலுப்படுத்துதல் மற்றும் திறன்கள் (CAP_SYS_MODULE)memfd_create இன் பயன்பாட்டைக் கண்காணித்து, குறியீட்டு பெயர்களில் முரண்பாடுகளைச் சரிபார்க்கவும். இவை அனைத்தும் EDR ஐ மட்டுமே நம்பாமல், இணைப்பதன் மூலம் பல அடுக்கு கட்டுப்பாடு மற்றும் குறுக்கு சரிபார்ப்புகள்.

தங்கள் தெளிவின்மையை முழுமையாக்கும் எதிரிகளை எதிர்கொள்ளும்போது, ​​பாதுகாவலர்கள் நோக்கி பரிணமிக்க வேண்டும் என்பதை சிங்குலரிட்டி வழக்கு நிரூபிக்கிறது. ஆழமான பகுப்பாய்வு நுட்பங்கள் நம்பகமான கர்னல் அச்சுறுத்தல் கண்டறிதல் என்பது குருட்டுப் புள்ளிகளைக் குறைப்பதற்கும் மீள்தன்மைக்கான பட்டியை உயர்த்துவதற்கும் EDR உடன் ஒருமைப்பாடு, நினைவகம் மற்றும் மேம்பட்ட தொடர்புகளைச் சேர்ப்பதை உள்ளடக்குகிறது.