Novo método de utensílios de flipswitch supera as defesas do kernel Linux

Novo método de utensílios de flipswitch supera as defesas do kernel Linux

Surgiu um novo método de enigma rootkit dublado Flipswitch, contornando as mais recentes salvaguardas do Linux 6.9 Kernel e reacendendo preocupações sobre o compromisso no nível do kernel.

Manipulando o código da máquina do novo despachante syscall, em vez do depreciado sys_call_table. kill e getdents64.

Durante anos, raízes linux como diamorfina e pumakit explorou o sys_call_table-Uma variedade simples de ponteiros de função-para redirecionar syscalls através de funções controladas por atacantes.

Ao desativar a proteção de gravação e substituir entradas específicas, um adversário pode ocultar arquivos maliciosos de ls Saídas ou tentativas de terminação do processo de frustração.

O liberar do Linux Kernel 6.9, no entanto, deu um golpe fatal a essa abordagem: o kernel substituiu a pesquisa de matriz direta

c// Pre-6.9: Direct array lookup
sys_call_table[__NR_kill](regs);

com um switch-Despacho de estatura dentro x64_sys_callignorando efetivamente quaisquer modificações para sys_call_table Para o manuseio real do syscall.

Flipswitch: redescobrindo o gancho

O principal insight de Flipswitch é que a lógica original do syscall ainda existe em forma compilada por trás do switch declaração.

Em vez de adulterar com sys_call_tableFlipswitch localiza e remende o nível da máquina call instrução interior x64_sys_call Isso chama a função Syscall alvo. Este processo se desenrola em quatro etapas:

  1. Descubra o endereço de função original
    Embora o sys_call_table Não governa mais o despacho, ele ainda mantém indicações válidas para compatibilidade. Lendo uma entrada como sys_call_table[__NR_kill]Flipswitch obtém o endereço do original sys_kill rotina.
  2. Localizar kallsyms_lookup_name
    Para encontrar símbolos do kernel programaticamente, o flipswitch usa um kprobe em um símbolo conhecido, extraindo o endereço de kallsyms_lookup_name. Isso permite a pesquisa de qualquer ponteiro de função Syscall exportado, ignorando as restrições de exportações diretas.
  3. Digitalize a instrução de chamada exclusiva
    O x64_sys_call O código da máquina da função é pesquisado byte por byte para o código de opção de um bytes 0xe8 seguido pelo deslocamento relativo de 4 bytes precisos que se destina sys_kill. Esta assinatura singular identifica as instruções exatas para sequestrar.
  4. Patch o despachante
    Operando no anel 0, o flipswitch desativa a proteção de gravação da CPU limpando o bit WP no CR0. Em seguida, substitui o deslocamento de 4 bytes do identificado call instrução para apontar para um malicioso fake_kill manipulador. Após a descarga do módulo, as proteções são reativadas e o deslocamento original restaurado, deixando evidências forenses mínimas.

Implicações e estratégias defensivas

O flipswitch ressalta a persistente dinâmica de gato e rato entre o endurecimento do kernel e a inovação adversária. Enquanto os desenvolvedores do Linux continuam fortalecendo a despacho do Syscall, os atacantes se adaptam ao direcionar a própria lógica de despacho compilado. Mitigações podem incluir:

  • Verificação de integridade de tempo de execução: Hash periodicamente e validando o código da máquina de x64_sys_call Para detectar modificações não autorizadas.
  • Restrições aprimoradas de KProbe: Limitar ou auditar ainda mais o uso de KProbes para localizar endereços de símbolos críticos.
  • Integridade do fluxo de controle (CFI): Empregando técnicas de CFI dentro do kernel para aplicar que todas as chamadas indiretas correspondem a metas legítimas.

Detectando flipswitch com yara

Manter a visibilidade no fluxo de controle do kernel e alavancar a detecção baseada em assinatura será essencial para ficar à frente na batalha em andamento por Linux Kernel integridade.

A detecção de rootkits no nível do kernel permanece desafiadora devido à sua operação furtiva e na memória. Para ajudar os defensores, a Elastic Security publicou uma regra Yara visando o flipswitch prova de conceito. A regra digitaliza os padrões exclusivos de código de máquina introduzidos durante o processo de patch:

textrule Linux_Rootkit_Flipswitch_821f3c9e
{
    meta:
        author = "Elastic Security"
        description = "Detect FlipSwitch rootkit PoC"
        os = "Linux"
        arch = "x86"
    strings:
        $all_a = { FF FF 48 89 45 E8 F0 80 ?? ?? ?? }
        $main_b = { 41 54 53 E8 ?? ?? ?? ?? 48 C7 C7 ?? ?? ?? ?? }
    condition:
        #all_a >= 2 and 1 of ($main_b)
}

Ao implantar essa regra em ferramentas de varredura de memória ou plataformas de proteção de terminais, as equipes de segurança podem sinalizar a presença do despachante corrigido da Flipswitch e responder antes que ocorram danos significativos.

À medida que as defesas do kernel evoluem, pesquisas como o FlipSwitch destacam a necessidade crítica de proteções em camadas e monitoramento proativo.

Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas e definir GBH como uma fonte preferida emGoogle.

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.