Các nhà nghiên cứu bảo mật vừa công bố một Linux rootkit tinh vi mang tên Singularity, có khả năng qua mặt các cơ chế phát hiện tiên tiến của Elastic Security. Sự phát hiện này cho thấy những điểm yếu nghiêm trọng trong các giải pháp phát hiện và phản ứng điểm cuối (EDR), đặt ra một mối đe dọa mạng đáng kể cho các hệ thống Linux.

Singularity Rootkit: Phá vỡ Phát hiện Điểm cuối

Singularity rootkit sử dụng nhiều kỹ thuật che giấu và lẩn tránh để đánh bại các hệ thống phân tích chữ ký tĩnh và giám sát hành vi. Những hệ thống này thường được thiết kế để nhận diện các mô-đun kernel độc hại.

Framework phát hiện điểm cuối của Elastic Security thường kích hoạt hơn 26 cảnh báo riêng biệt khi đối mặt với các triển khai rootkit tiêu chuẩn. Hệ thống này áp dụng nhiều lớp phát hiện, bao gồm khớp chữ ký YARA và phân tích hành vi, đặc biệt dành cho các mối đe dọa ở cấp độ kernel.

Tuy nhiên, các nhà nghiên cứu đã phát hiện ra rằng các biện pháp phòng thủ này dựa vào các mẫu hành vi dễ dự đoán. Những mẫu này có thể bị qua mặt một cách có hệ thống thông qua các kỹ thuật che giấu có phương pháp. Điều này cho thấy sự cần thiết của các giải pháp phát hiện nâng cao hơn.

Các Kỹ thuật Lẩn tránh Rootkit Nâng cao của Singularity

Singularity rootkit khai thác bốn kỹ thuật lẩn tránh chính để duy trì hoạt động ẩn mình. Mỗi kỹ thuật đều được thiết kế để phá vỡ các phương pháp phát hiện hiện có, biến nó thành một kỹ thuật lẩn tránh rootkit đặc biệt hiệu quả.

Che giấu Chuỗi Ký tự (String Obfuscation)

Kỹ thuật đầu tiên liên quan đến việc che giấu chuỗi ký tự ngay tại thời điểm biên dịch. Các chuỗi nhạy cảm như “GPL” và “kallsyms_lookup_name” được phân mảnh thành các hằng số riêng biệt trong quá trình biên dịch.

Trình biên dịch C tự động nối các đoạn này lại với nhau trong quá trình biên dịch. Điều này ngăn chặn các máy quét chữ ký phát hiện các chuỗi độc hại liên tục trong tệp nhị phân cuối cùng. Cách tiếp cận này giúp duy trì đầy đủ chức năng trong khi phá vỡ khả năng khớp mẫu tĩnh mà các quy tắc YARA dựa vào.

Ngẫu nhiên hóa Tên Biểu tượng (Symbol Name Randomization)

Phương pháp lẩn tránh thứ hai là ngẫu nhiên hóa tên biểu tượng một cách thông minh. Các rootkit tiêu chuẩn thường sử dụng các mẫu đặt tên dễ đoán như “hook_getdents”, “fake_tcp4_seq_show” và “hide_module”, vốn đã trở thành chữ ký quen thuộc cho các hệ thống phát hiện.

Singularity rootkit thay thế các chỉ báo này bằng các tên chung giống kernel, bao gồm các tiền tố như “sys”, “kern” và “dev”. Điều này làm cho mã độc hại không thể phân biệt được với các hoạt động kernel hợp pháp. Đây là một kỹ thuật lẩn tránh rootkit hiệu quả.

Phân mảnh Mô-đun (Module Fragmentation)

Phân mảnh mô-đun đại diện cho chiến lược lẩn tránh thứ ba của kỹ thuật lẩn tránh rootkit này. Thay vì triển khai một tệp đối tượng kernel nguyên khối, các nhà nghiên cứu đã phân mảnh mô-đun đã biên dịch thành các đoạn mã được mã hóa.

Những đoạn mã này chỉ được lắp ráp lại trong bộ nhớ trong quá trình tải. Các đoạn mã trải qua mã hóa XOR và được tải thông qua một bộ mô tả tệp bộ nhớ tùy chỉnh, được tạo thông qua memfd_create. Điều này đảm bảo mô-đun hoàn chỉnh không bao giờ xuất hiện trên đĩa để phân tích tĩnh.

Che giấu Chức năng ftrace (ftrace Helper Obfuscation)

Kỹ thuật thứ tư tập trung vào việc che giấu các chức năng hỗ trợ ftrace, đổi tên các hàm framework mà hệ thống phát hiện đặc biệt giám sát. Các chức năng như “fh_install_hook” và “fh_remove_hook” được thay thế bằng các định danh ngẫu nhiên, trong khi vẫn duy trì đầy đủ chức năng.

Bên cạnh đó, Singularity rootkit cũng bỏ qua các cơ chế tải mô-đun truyền thống. Nó sử dụng các lệnh gọi hệ thống (syscalls) trực tiếp thông qua hợp ngữ nội tuyến (inline assembly), tránh các trình bao bọc libc mà các hệ thống phát hiện điểm cuối tích cực giám sát. Đây là một kỹ thuật lẩn tránh rootkit phức tạp.

Để biết thêm chi tiết về các kỹ thuật này, bạn có thể tham khảo nghiên cứu tại matheuzsecurity.github.io.

Lẩn tránh Phát hiện Hành vi và Hàm ý Bảo mật

Nghiên cứu cũng chứng minh rằng việc phát hiện xâm nhập dựa trên hành vi đối mặt với những thách thức tương tự. Các nhà nghiên cứu đã lẩn tránh thành công việc phát hiện reverse shell bằng cách ghi các payload độc hại vào các script trên đĩa trước. Sau đó, họ thực thi chúng bằng các dòng lệnh “sạch” không chứa bất kỳ mẫu đáng ngờ nào.

Singularity rootkit ngay lập tức ẩn các tiến trình đang thực thi bằng cách sử dụng cơ chế ẩn dựa trên tín hiệu (signal-based hiding). Điều này ngăn chặn các công cụ phân tích hành vi phát hiện các hoạt động thực tế. Việc này một lần nữa khẳng định hiệu quả của kỹ thuật lẩn tránh rootkit này.

Nghiên cứu này làm nổi bật những điểm yếu cơ bản trong các phương pháp phát hiện tĩnh và hành vi đối với các mối đe dọa ở cấp độ kernel. Việc lẩn tránh có hệ thống cho thấy các cách tiếp cận dựa trên chữ ký yêu cầu cập nhật liên tục.

Điều này càng đúng khi các tác nhân đe dọa phát triển các chiến lược che giấu mới. Các phát hiện này nhấn mạnh sự cần thiết của các hệ thống phát hiện để triển khai các kỹ thuật phân tích tinh vi hơn ngoài việc khớp mẫu.

Các kỹ thuật này bao gồm pháp y bộ nhớ và tương quan hành vi trên nhiều lớp hệ thống. Các nhóm bảo mật nên ưu tiên giám sát tính toàn vẹn của kernel và triển khai các chiến lược phòng thủ theo chiều sâu (defense-in-depth).

Các chiến lược này nên kết hợp nhiều phương pháp phát hiện thay vì chỉ dựa vào các giải pháp phát hiện điểm cuối. Điều này giúp chống lại các kỹ thuật lẩn tránh rootkit ngày càng phức tạp.