Sandfly:Linux’ta Gizli Rootkit İşlemini İfşa Aracı

SandFly Security firması, Diamorphine ve Reptile isimli rootkitlerin gizli süreçlerini açığa çıkaran “Sandfly-processdecloak” isimli bir uygulama geliştirdi.

Aracı Githubdan indirmek isterseniz aşağıdaki linki kullanabilirsiniz.

Sandfly_processdecloak

Sandfly Security, bu araçla NSA tarafından belirlenen ve gizlenmek için benzer çekirdek modülü yöntemini kullanan “Drovorub” zararlısının da tespit edilebileceğinden bahsetmektedir.
Henüz ellerinde üzerinde çalışacakları bir “Drovorub” zararlısı bulunmayan firma, Yüklenebilir Çekirdek Modülü kullanan rookitlerin gizlenme metodlarının benzer olduğunu bu sayede benzer rootkit varyasyonlarında başarı sağlanacağını belirtmekle beraber “Drovorub” zararlısına ait güncellemenin mümkün olur olmaz uygulamaya dahil edileceğinin bilgisinide verdiler.

Sandfly-processdecloak Nedir?

Sandfly-processdecloak aracı, yaygın ve yaygın olmayan yüklenebilir çekirdek modüllerine ait süreç ID’lerini tarayarak varsa gizlenen rootkitleri ortaya ortaya çıkarıyor.

Nasıl Çalışır?

Uygulama , Linux’ta bulunan /proc dizininde görünmeyen süreçleri bulmak için bruteforce taktiğinden faydalanıyor. Yüklenebilir çekirdek modülü rootkitleri /proc dizinindeki kayıtlarının gizlerler. Sandfly-processdecloak, çalışan her PID’nin olması gerektiği gibi görünür olup olmadığını kontrol etmek için tüm PID alanını analiz ediyor. Ve gizlenmeye çalışan işlemleri, kullandıkları PID’leri ve işlem adlarını ortaya çıkarıyor.

Özellikleri

  • Golang’da yazılmıştır ve herhangi bir değişiklik olmaksızın birden çok mimaride çalışabilir.
  • Bağımsız çalıştırılabilir program, bağımlılık veya kütüphane gerektirmez
  • LD_PRELOAD tarzı rootkitlerden veya ana bilgisayarlarda şüpheli, kurcalanmış ortak kütüphanelerden etkilenmez.
  • Diamorphine, Reptile ve çeşitleri gibi LKM rootkitlerine karşı çalışır.
  • Çok hafiftir ve çekirdeğe takılmaz veya sistem kararsızlığına neden olmaz.

Bunu nasıl kullanabilirim?

Sandfly-processdecloak uygulamasını Linux sisteminize indirip, derleyerek kullanabilirsiniz.

Örnekler

Uygulama çalıştırıldığında, tüm temiz veya şüheli PID’leri gösterecektir. Aşağıdaki örnekte reptile yüklü bir sisteme ait çıktıları görebilirsiniz.

Temiz Sistem

root@sandfly-clean:~# ./sandfly-processdecloak
sandfly-processdecloak Version 1.0
Copyright (c) 2020 Sandfly Security - www.sandflysecurity.com

Decloaking hidden Process IDs (PIDS) on Linux host.
No hidden PIDs found.

Diamorphine Stili LKM Gizli Rootkit

root@sandfly-diamorphine:~# ./sandfly-processdecloak
sandfly-processdecloak Version 1.0

Copyright (c) 2020 Sandfly Security - www.sandflysecurity.com

Decloaking hidden Process IDs (PIDS) on Linux host.
Found hidden PID: 7171 with name: diamorphine_hid

Hatalı Doğrular

Bazen gerçekte gizlenmemiş doğru bir PID’yi tehlikeli olarak işaretlemek mümkün olabiliyor, ancak ancak firma bu riski sınırlamak için önlemler almış. Ek olarak kullanıcılardan gelen hatalı doğruları da uygulamaya tanıtarak hatalı doğru sayısını azaltmayı planlıyorlar.

Sandfly Kullananlar LKM Rootkit Taktiklerine Karşı Avantajlı

Sandfly ücretsiz bir uygulama olmasına karşın yüklenebir çekirdek modülü stili ile gizlenen rootkitleri ortaya çıkarmak için kapsamlı yöntemler kullanıyor. Sandfly sadece gizli PID’leri ortaya çıkarmakla kalmayıp, dosyalardaki, dizinlerdeki gizlenmiş bilgileride ortaya çıkarabiliyor.
Ajan kullanmadan çalıştığı için sisteme ekstra bir yük getirmiyor veya sistemin kararlılığına negatif bir etkide bulunmuyor.

Bir yorum

Yorumlar kapalı.