Säkerhetsforskare har utvecklat en sofistikerad Linux-rootkit vid namn Singularity som kringgår Elastic Securitys mekanismer för endpointdetektering och respons. Verktyget demonstrerar sårbarheter i statiska och beteendemässiga detekteringssystem genom avancerade ofuskeringstekniker. Avslöjad på GitHub av forskaren 0xMatheuZ, belyser det pågående utmaningar i identifiering av hot på kärnnivå.
Säkerhetsforskare, ledda av pseudonymen 0xMatheuZ, har släppt Singularity, en Linux-kärnrootkit på GitHub, utformad för att undvika detektering av Elastic Securitys EDR-lösning, känd som Elastic Defend. Vanligtvis utlöser Elastic Security mer än 26 varningar för standardimplementeringar av rootkits, inklusive filkarantän och processavslut, men Singularity kringgår dessa genom fyra primära undvikandestrategier.
Den första tekniken involverar strängofuskering vid kompileringstid, där känsliga strängar som “GPL” och “kallsyms_lookup_name” fragmenteras till separata konstanter, såsom MODULE_LICENSE(“G” “P” “L”), som C-kompilatorn sammanfogar. Detta förhindrar YARA-signaturscanners från att identifiera sammanhängande skadliga strängar i binären samtidigt som funktionaliteten bevaras.
För det andra ersätter symbolnamnsrandomisering förutsägbara mönster, såsom “hook_getdents,” “fake_tcp4_seq_show” och “hide_module,” med kärnliknande generiska namn prefixade med “sys,” “kern” eller “dev.” En vitlista skyddar essentiella kärn-API:er, och regex-mönster säkerställer konsekvent omdöpning utan fel.
Tredje, modulfractionering delar den kompilerade .ko-filen i 64KB XOR-kodade segment med en randomiserad 16-byte-nyckel. Dessa återmonteras i minnet via en anpassad laddare och memfd_create, undvikande diskartefakter för statisk analys. Laddning sker genom direkta syscalls med inline-assembler, kringgående övervakade libc-wrappers, stödjande både 64-bit och 32-bit system via int $0x80.
Fjärde, ftrace-hjälpfunktioner som “fh_install_hook” och “fh_remove_hook” döps om till randomiserade identifierare, undvikande regler som flaggar flera sådana förekomster.
Singularity inkluderar även funktionalitet för att dölja processer från /proc-filsystemet, dölja filer och kataloger som matchar “singularity” eller “matheuz,” maskera TCP-anslutningar på port 8081, och möjliggöra privilegieskalning via anpassade signaler eller miljövariabler. Den har en ICMP-baserad bakdörr för omvända skal som utlöses av specifika paketssekvenser, med anti-analysåtgärder som hindrar spårning och rensar loggar.
För beteendemässig undvikande distribueras ett stegat bash-skript till /singularity, utfört med rena kommandorader för att undvika detektering av omvända skal. Skriptet använder kill -59 för PID-döljning och eskalering, kompilerande laddare i /tmp istället för övervakade kataloger. I tester laddades Singularity utan varningar, dolde processer och etablerade root-skal.
Denna forskning exponerar svagheter i signaturbaserad och beteendemässig detektering för kärnhot, betonar behovet av kontinuerliga uppdateringar, kärnintegritetsövervakning, minnesforensik och djupförsvarsstrategier som kombinerar flera tillvägagångssätt.