Matheus Alves, oo ah cilmi-baare amni oo ku takhasusay malware-ka, ayaa daabacay cusbooneysiin ku saabsan mashruuca Singularity, kaas oo sameeya rootkit kernel oo furan. Linux, oo lagu qaybiyay shatiga MIT. Hadafka mashruucu waa in la muujiyo hababka lagu qarinayo jiritaanka qofka ka dib marka la helo marin-u-helka xididka iyo ilaalinta awoodda lagu fulin karo hawlgallo mudnaan leh si qarsoodi ah. Waxaa la rajeynayaa in Singularity ay faa'iido u yeelan karto cilmi-baarayaasha amniga si ay u tijaabiyaan una horumariyaan qalabka ogaanshaha iyo xannibaadda rootkit.
Rootkit-ka waxaa loogu talagalay inuu noqdo module loogu talagalay kernels-ka Linux 6.x waxayna isticmaashaa habka ftrace si ay si qarsoodi ah u dhex gasho wicitaanada nidaamka iyada oo aan la beddelin meelaha laga soo galo wicitaanka nidaamka ama aan wax laga beddelin shaqooyinka kernel-ka. Singularity waxay taageertaa qarinta joogitaankeeda nidaamka, iyo sidoo kale qarinta hababka uu weerarku qeexay, faylasha la xiriira, iyo dhaqdhaqaaqa shabakadda. Si loogu fududeeyo cilmi-baarayaasha, shaqada rootkit-ka waxaa loo qaybiyaa modules.
Marka laga soo tago hababka caadiga ah ee lagu qarinayo joogitaankeeda nidaamka, sida qarinta hababka lagama maarmaanka ah, faylasha, tusmooyinka, iyo modules-ka kernel-ka, Singularity waxay hirgelisaa dhowr hab oo horumarsan si ay uga gudubto hababka ilaalinta iyo inay carqaladeyso ogaanshaha scanners-ka rootkit-ka ee gaarka ah, sida Falco, ghostscan, tracee, unhide, chkrootkit, iyo rkhunter. Waxyaabaha kale, Singularity waxay ka qarin kartaa waxqabadkeeda qalabka isticmaala eBPF, ka saari kartaa qufullada eBPF, ka hortagi kartaa modules-ka kernel-ka inay raraan, iska caabiso falanqaynta I/O iyada oo loo marayo nidaamka hoose ee io_uring, iyo ka gudubka hubinta daacadnimada ee uu sameeyo module-ka LKRG (Linux Ilaaliyaha Runtime Kernel).
Hal-ku-dhegga waxaa ka mid ah qolof rogan, kaas oo bixiya marin fog oo mudnaanta leh oo loo maro nidaamka iyadoo la dirayo baakadaha ICMP, iyo sidoo kale hawl-wadeennada u oggolaanaya qarinta habka ama kordhinta mudnaanta iyada oo loo marayo wax-ka-beddello gaar ah oo calaamadaha iyo doorsoomayaasha deegaanka ah. Tusaale ahaan, si aad u qariso habka /proc iyo wax-soo-saarka adeegyada sida ps, waxaad fulin kartaa "kill -59 PID_process", iyo si aad u kordhiso mudnaanta, deji doorsoomaha deegaanka "MAGIC=mtz".
Rootkit-ku wuxuu qariyaa taraafikada qolofka dambe ee falanqeeyayaasha shabakadda wuxuuna u oggolaanayaa in la dhaafo maareeyayaasha SE.Linux, oo ay kicisay ICMP. Singularity waxa kale oo ku jira awoodaha lagu qarinayo isku xirka shabakadaha qaarkood jadwalka /proc/net/nf_conntrack, SOCK_DIAG/NETFILTER netlink-ga, iyo adeegyada sida netstat, ss, lsof, tcpdump, iyo wireshark. Gacan-qabayaasha nadiifinta fariimaha hubinta iyo diiwaangelinta ayaa la heli karaa (klogctl, syslog, systemd-journal, /sys/kernel/debug/tracing/, dmesg). Waxaa jira shaandhooyin si looga hortago falanqeeyayaasha xusuusta sida Volatility, kuwaas oo isticmaala /proc/kcore, /proc/kallsyms, iyo /proc/vmallocinfo, iyo sidoo kale awoodda lagu shaandheynayo marin u helidda tooska ah ee aaladaha xannibaadda si looga hortago falanqaynta nidaamka faylka heerka hoose.
Source: opennet.ru
