ميٿيوس الويس، هڪ سيڪيورٽي محقق جيڪو مالويئر ۾ ماهر آهي، سنگولرٽي پروجيڪٽ لاءِ هڪ اپڊيٽ شايع ڪئي آهي، جيڪو هڪ اوپن سورس ڪرنل روٽ ڪٽ تيار ڪري ٿو. Linux، MIT لائسنس تحت ورهايل. منصوبي جو مقصد روٽ رسائي حاصل ڪرڻ کان پوءِ ڪنهن جي موجودگي کي لڪائڻ ۽ خفيه طور تي خصوصي آپريشن ڪرڻ جي صلاحيت کي برقرار رکڻ جا طريقا ڏيکارڻ آهي. اميد آهي ته سنگولرٽي سيڪيورٽي محققن لاءِ روٽ ڪٽ ڳولڻ ۽ بلاڪنگ ٽولز جي جانچ ۽ ترقي لاءِ ڪارآمد ثابت ٿي سگهي ٿي.
روٽ ڪٽ کي ڪنيلز لاءِ هڪ ماڊيول جي طور تي ٺاهيو ويو آهي. Linux 6.x ۽ سسٽم ڪال انٽري پوائنٽس کي تبديل ڪرڻ يا ڪرنل افعال کي تبديل ڪرڻ کان سواءِ سسٽم ڪالز کي ڳجهي طور تي روڪڻ لاءِ ftrace ميڪانيزم استعمال ڪري ٿو. سنگولرٽي سسٽم ۾ پنهنجي موجودگي کي لڪائڻ جي حمايت ڪري ٿي، انهي سان گڏ حملي آور جي مخصوص عملن، لاڳاپيل فائلن، ۽ نيٽ ورڪ سرگرمي کي لڪائڻ جي حمايت ڪري ٿي. محققن جي سهولت لاءِ، روٽ ڪٽ جي ڪارڪردگي کي ماڊلز ۾ ورهايو ويو آهي.
سسٽم ۾ پنهنجي موجودگي کي لڪائڻ جي عام طريقن کان علاوه، جهڙوڪ ضروري عمل، فائلون، ڊائريڪٽريون، ۽ ڪرنل ماڊلز لڪائڻ، سنگولرٽي حفاظتي ميڪانيزم کي نظرانداز ڪرڻ ۽ خاص روٽ ڪٽ اسڪينرز، جهڙوڪ فالڪو، گھوسٽ اسڪين، ٽريسي، انهائيڊ، چڪروٽ ڪٽ، ۽ رخنٽر ذريعي ڳولا کي روڪڻ لاءِ ڪيترائي جديد طريقا لاڳو ڪري ٿي. ٻين شين جي وچ ۾، سنگولرٽي پنهنجي سرگرمي کي انهن اوزارن کان لڪائي سگهي ٿي جيڪي eBPF استعمال ڪن ٿا، eBPF لاڪ هٽائي سگهن ٿا، ڪرنل ماڊلز کي لوڊ ٿيڻ کان روڪي سگهن ٿا، io_uring سب سسٽم ذريعي I/O تجزيو جي مزاحمت ڪري سگهن ٿا، ۽ LKRG ماڊل پاران ڪيل سالميت چيڪن کي نظرانداز ڪري سگهن ٿا (Linux ڪرنل رن ٽائيم گارڊ).
سنگولرٽي ۾ هڪ ريورس شيل شامل آهي، جيڪو ICMP پيڪٽس موڪلڻ سان سسٽم تائين امتيازي ريموٽ رسائي فراهم ڪري ٿو، انهي سان گڏ هينڊلر جيڪي سگنلن ۽ ماحولياتي متغيرن جي مخصوص هٿرادو ذريعي عمل کي لڪائڻ يا امتيازي واڌ جي اجازت ڏين ٿا. مثال طور، /proc کان هڪ عمل کي لڪائڻ ۽ ps جهڙين يوٽيلٽيز جي آئوٽ پُٽ لاءِ، توهان "kill -59 PID_process" تي عمل ڪري سگهو ٿا، ۽ امتياز کي وڌائڻ لاءِ، ماحولياتي متغير "MAGIC=mtz" سيٽ ڪريو.
روٽ ڪٽ نيٽ ورڪ اينالائيزرز کان ريورس شيل ٽرئفڪ کي لڪائيندو آهي ۽ ايس اي هينڊلرز کي نظرانداز ڪرڻ جي اجازت ڏيندو آهي.Linux، ICMP پاران شروع ڪيو ويو. سنگولرٽي ۾ /proc/net/nf_conntrack ٽيبلن، SOCK_DIAG/NETFILTER نيٽ لنڪ هينڊلرز، ۽ نيٽ اسٽيٽ، ss، lsof، tcpdump، ۽ wireshark جهڙين يوٽيلٽيز مان ڪجهه نيٽ ورڪ ڪنيڪشن لڪائڻ جون صلاحيتون پڻ شامل آهن. آڊٽ پيغامن ۽ لاگنگ کي صاف ڪرڻ لاءِ هينڊلرز موجود آهن (klogctl، syslog، systemd-journal، /sys/kernel/debug/tracing/، dmesg). ميموري اينالائيزرن کي منهن ڏيڻ لاءِ فلٽر آهن جهڙوڪ Volatility، جيڪي /proc/kcore، /proc/kallsyms، ۽ /proc/vmallocinfo استعمال ڪن ٿا، انهي سان گڏ گهٽ-سطح جي فائل سسٽم تجزيي کي روڪڻ لاءِ بلاڪ ڊوائيسز تائين سڌي رسائي کي فلٽر ڪرڻ جي صلاحيت.
جو ذريعو: opennet.ru
