Um grupo de pesquisadores demonstrou um Rootkit Linux chamado Singularity que consegue passar despercebido pelo Elastic Security EDR, evidenciando limitações significativas na detecção em nível de kernel. Esta prova de conceito não é meramente teórica: Combina técnicas de ofuscação e evasão. Reduzir a zero os sinais que normalmente denunciariam um módulo malicioso.
A descoberta preocupa as equipes de segurança europeias, inclusive na Espanha, porque O Elastic normalmente dispara mais de 26 alertas. contra rootkits convencionais, e neste caso, eles não foram acionados. A pesquisa, publicada para fins educacionais por 0xMatheuZ, mostra que o métodos baseados em assinaturas e padrões Eles ficam aquém dos adversários que aprimoram sua engenharia.
Como burlar o Elastic EDR: principais técnicas de evasão
A primeira vantagem da singularidade é a ofuscação de strings em tempo de compilaçãoFragmenta literais sensíveis (por exemplo, "GPL" ou "kallsyms_lookup_name") em blocos contíguos que o compilador C pode entender. recompõe-se automaticamenteImpedir que scanners como o YARA encontrem sequências maliciosas contínuas sem sacrificar a funcionalidade.
Em paralelo, aplica-se aleatorização de nomes de símbolosEm vez de identificadores previsíveis como hook_getdents ou hide_module, adota tags genéricas com prefixos que Eles imitam o próprio núcleo. (sys, kern, dev), obscurecendo o rastro de funções suspeitas e desarmando regras de detecção baseadas em nomes.
O próximo passo é o fragmentação de módulos em partes criptografadas que são remontadas apenas na memória. Os fragmentos são codificados com XOR e um carregador usa memfd_create para evitar deixar resquícios no disco; ao inseri-lo, ele usa chamadas diretas do sistema (incluindo finit_module) usando assembler embutido, evitando wrappers da libc que muitos EDRs monitoram.
Também camufla funções auxiliares do ftrace: normalmente, as funções monitoradas (como fh_install_hook ou fh_remove_hook) são renomear de forma determinística com identificadores aleatórios, mantendo seu comportamento, mas quebrando Assinaturas elásticas direcionadas a rootkits genéricos.
Em termos comportamentais, os pesquisadores contornam as regras do shell reverso gravando primeiro o payload no disco e depois executando-o com Linhas de comando “limpas”Além disso, o rootkit oculta imediatamente os processos em execução usando sinais específicos, o que complica a correlação. entre eventos e atividade real.
Capacidades e riscos dos rootkits em ambientes europeus
Além da evasão, Singularity incorpora funções ofensivas: pode ocultar processos em /proc, ocultando arquivos e diretórios associados a padrões como "singularidade" ou "matheuz", e disfarçar conexões TCP (por exemplo, na porta 8081). Também permite a escalação de privilégios através de sinais personalizados ou variáveis ambientaise oferece uma porta dos fundos ICMP capaz de ativar shells remotos.
O projeto adiciona defesas anti-análise, bloqueando rastros e registros de higienização para reduzir o ruído forense. O carregador é compilado estaticamente e pode operar em locais menos monitorados, reforçando uma cadeia de execução na qual O módulo inteiro nunca toca no disco. Portanto, a análise estática fica sem material.
Para as organizações na Espanha e no resto da Europa que dependem do Elastic Defend, o caso as obriga a regras de detecção de revisão e reforçar o monitoramento de baixo nível. A combinação de ofuscação, carregamento de memória e chamadas de sistema diretas revela uma superfície onde os controles baseados em comportamento são limitados. Eles não capturam o contexto do kernel..
As equipes do SOC devem priorizar o monitoramento de integridade do kernel (por exemplo, validação LKM e proteções contra carregamento não autorizado), incorporar análise forense de memória e correlação do sinal eBPF com telemetria do sistema e aplicar defesa em profundidade que combina heurísticas, listas brancas, reforço e atualização contínua de assinaturas.
Em ambientes críticos, é aconselhável fortalecer as políticas para reduzir a superfície de ataque: limitar ou desativar a capacidade de carregar módulos, reforçar as políticas de segurança e capacidades (CAP_SYS_MODULE)Monitore o uso de memfd_create e valide anomalias em nomes de símbolos. Tudo isso sem depender exclusivamente do EDR, mas combinando-o com outras ferramentas. múltiplas camadas de controle e verificações cruzadas.
O caso da Singularidade demonstra que, diante de adversários que aperfeiçoam a arte da obscuridade, os defensores precisam evoluir em direção a técnicas de análise mais aprofundadas e orquestrada. A detecção confiável de ameaças ao kernel envolve adicionar integridade, memória e correlação avançada ao EDR para reduzir pontos cegos e elevar o nível de resiliência.