وقد أظهرت مجموعة من الباحثين برنامج rootkit لنظام Linux يسمى Singularity الذي ينجح في الاختفاء من خلال Elastic Security EDR، مما يُبرز قيودًا كبيرة في الكشف على مستوى النواة. هذا الدليل ليس نظريًا فحسب: فهو يجمع بين تقنيات التعتيم والتهرب. لتقليل الإشارات التي من شأنها عادةً أن تكشف عن وحدة خبيثة إلى الصفر.
يثير هذا الاكتشاف قلق فرق الأمن الأوروبية، بما في ذلك في إسبانيا، لأن يؤدي Elastic عادةً إلى تشغيل أكثر من 26 تنبيهًا ضد برامج التجسس التقليدية، وفي هذه الحالة، لم يتم تفعيلها. يُظهر البحث، الذي نُشر لأغراض تعليمية بواسطة 0xMatheuZ، أن الأساليب القائمة على التوقيع والأنماط إنهم يفشلون في مواجهة الخصوم الذين يصقلون هندستهم.
كيفية التفوق على Elastic EDR: تقنيات التهرب من المفتاح
الميزة الأولى للتفرد هي تشويش السلسلة في وقت التجميعيقوم بتجزئة النصوص الحساسة (على سبيل المثال، "GPL" أو "kallsyms_lookup_name") إلى أجزاء متجاورة يمكن لمترجم C فهمها. إعادة التكوين تلقائيًامنع الماسحات الضوئية مثل YARA من العثور على سلاسل ضارة متواصلة دون التضحية بالوظائف.
وبالتوازي ينطبق ذلك عشوائية أسماء الرموزبدلاً من المعرفات المتوقعة مثل hook_getdents أو hide_module، فإنه يعتمد علامات عامة مع البادئات التي إنهم يقلدون النواة نفسها. (sys، kern، dev)، مما يؤدي إلى طمس مسار الوظائف المشبوهة وإلغاء تفعيل قواعد الكشف القائمة على الاسم.
والخطوة التالية هي تجزئة الوحدة النمطية في قطع مشفرة تُعاد تجميعها في الذاكرة فقط. تُشفَّر هذه القطع باستخدام XOR، ويستخدم المُحمِّل memfd_create لتجنب ترك أي بقايا على القرص؛ وعند إدخالها، يستخدم مكالمات النظام المباشرة (بما في ذلك finit_module) باستخدام مُجمِّع مضمَّن، وتجنب غلافات libc التي تراقبها العديد من EDRs.
كما أنه يقوم بإخفاء مساعدي ftrace: الوظائف التي تتم مراقبتها عادةً (مثل fh_install_hook أو fh_remove_hook) هي إعادة التسمية بطريقة حتمية مع معرفات عشوائية، والحفاظ على سلوكهم ولكن كسر التوقيعات المرنة التي تستهدف برامج الجذر العامة.
على المستوى السلوكي، يتحايل الباحثون على قواعد الغلاف العكسي من خلال كتابة الحمولة على القرص أولاً ثم تنفيذها باستخدام أسطر الأوامر "النظيفة"علاوة على ذلك، يقوم برنامج rootkit على الفور بإخفاء العمليات الجارية باستخدام إشارات محددة، مما يؤدي إلى تعقيد الارتباط. بين الأحداث والنشاط الحقيقي.
قدرات Rootkit والمخاطر في البيئات الأوروبية
إلى جانب التهرب، تتضمن التفرد وظائف هجومية: يمكنها إخفاء العمليات في /proc، إخفاء الملفات والدلائل المرتبطة بأنماط مثل "التفرد" أو "matheuz"، و إخفاء اتصالات TCP (على سبيل المثال، على المنفذ 8081). كما أنه يتيح تصعيد الامتيازات من خلال إشارات مخصصة أو متغيرات بيئية، ويقدم بابًا خلفيًا ICMP قادرًا على تنشيط الأصداف البعيدة.
يضيف المشروع دفاعات مضادة للتحليل، مما يحجب الآثار و تعقيم السجلات لتقليل ضوضاء الأدلة الجنائية. يتم تجميع المُحمِّل بشكل ثابت، ويمكن تشغيله في مواقع أقل مراقبة، مما يعزز سلسلة التنفيذ التي الوحدة بأكملها لا تلمس القرص أبدًا ولذلك فإن التحليل الثابت يفتقر إلى المواد.
بالنسبة للمنظمات في إسبانيا وبقية أوروبا التي تعتمد على Elastic Defend، فإن القضية تجبرهم على مراجعة قواعد الكشف وتعزيز المراقبة منخفضة المستوى. يكشف الجمع بين التعتيم وتحميل الذاكرة واستدعاءات النظام المباشرة عن سطح تكون فيه الضوابط القائمة على السلوك محدودة. إنهم لا يلتقطون سياق النواة.
ينبغي لفرق مركز العمليات الأمنية إعطاء الأولوية لـ مراقبة سلامة النواة (على سبيل المثال، التحقق من صحة LKM والحماية من التحميل غير المصرح به)، ودمج الطب الشرعي للذاكرة و ارتباط إشارة eBPF باستخدام نظام القياس عن بعد، وتطبيق الدفاع المتعمق الذي يمزج بين الأساليب التجريبية والقوائم البيضاء والتحصين و التحديث المستمر للتوقيعات.
في البيئات الحرجة، يُنصح بتعزيز السياسات لتقليل سطح الهجوم: الحد من القدرة على تحميل الوحدات النمطية أو تعطيلها، وتعزيز سياسات الأمان، القدرات (CAP_SYS_MODULE)راقب استخدام memfd_create وتحقق من الشذوذ في أسماء الرموز. كل هذا دون الاعتماد حصريًا على EDR، بل من خلال الجمع بين طبقات متعددة من التحكم والتحقق المتبادل.
تُظهِر قضية التفرد أنه في مواجهة الخصوم الذين يتقنون التعتيم، يجب على المدافعين أن يتطوروا نحو تقنيات التحليل الأعمق يتضمن الكشف الموثوق عن تهديدات النواة إضافة التكامل والذاكرة والارتباط المتقدم إلى EDR لتقليل النقاط العمياء ورفع مستوى المرونة.