Revolucionarni sigurnosni alat pojavio se u tekućoj borbi protiv sofisticiranog Linux malicioznog softvera.
Objavljen je novi modul kernela zasnovan na Rust-u, dizajniran posebno za otkrivanje rootkita, koji nudi poboljšane mogućnosti za identifikaciju ovih posebno neuhvatljivih prijetnji.
Modul predstavlja značajan napredak u Linux sigurnosnim alatima, rješavajući kritičnu potrebu za modernim mehanizmima detekcije protiv sve sofisticiranijih prijetnji na nivou kernela.
Linux sistemi napajaju sve, od IoT uređaja do kritičnih servera, što ih čini glavnim metama za napadače koji traže uporan pristup.
Rootkit-ovi, koji održavaju skrivenost ugrađujući se duboko u operativni sistem, predstavljaju jedan od najopasnijih oblika malicioznog softvera zbog svoje sposobnosti da sakriju svoje prisustvo od standardnih alata za detekciju i od administratora.
Novi modul za otkrivanje razvijen je kao dio fokusiranog istraživačkog napora za borbu protiv prijetnji na nivou kernela koje tradicionalna sigurnosna rješenja često propuštaju.
Rutkitovi obično nude mogućnosti uključujući samoskrivanje, skrivanje podataka, obrnuti pristup shell-u i postojanost pokretanja – što ih čini posebno opasnim nakon instaliranja.
Thalium istraživači su otkrili da su postojeća rješenja za otkrivanje rootkita za Linux zastarjela i manje efikasna protiv modernih prijetnji.
Njihov pristup koristi viši nivo privilegija operacija kernela kako bi se maksimizirale mogućnosti otkrivanja, istovremeno priznajući inherentne izazove kada maliciozni kod radi na istom nivou privilegija.
Razvoj alata u Rustu , a ne u C-u, predstavlja važan pomak u programiranju modula kernela.
Nakon incidenta CrowdStrike 2023. koji je naglasio koliko kritične mogu biti softverske greške na nivou kernela, istraživači su odabrali Rust zbog njegovih garancija za sigurnost memorije i jakog sistema tipova – smanjujući rizik od katastrofalnih grešaka uz održavanje performansi.
Napredno otkrivanje kroz modulsko skeniranje adresnog prostora
Jedna posebno inovativna tehnika detekcije implementirana u modul uključuje brute-forcing adresnog prostora modula kernela.
Pristup iskorištava kako Linux dodjeljuje memoriju za module kernela koji se mogu učitati (LKM) u određenom rasponu adresa, sa predvidljivom internom strukturom.
.webp)
Algoritam detekcije iterira kroz ovaj raspon adresa tražeći važeće obrasce strukturnih modula na osnovu poznatih važećih ograničenja polja.
Na primjer, kada analizira potencijalne strukture modula, alat provjerava sljedeće:
// Simplified pseudocode for validating module structures
if state >= 0 && state 0 {
// Potential hidden module found
}Ova tehnika uspješno identifikuje rootkite kao što su KoviD i Reptile koji pokušavaju da se sakriju uklanjanjem iz standardnih struktura registracije kernela.
Kada se kombinuje sa provjerama sumnjivih traženja simbola kernela i inline detekcijom kuke, alat pruža sveobuhvatnu zaštitu od najčešćih rootkit tehnika koje se danas koriste u divljini.
Izvor: CyberSecurityNews
