Un grup d'investigadors ha mostrat un rootkit per a Linux anomenat Singularity que aconsegueix passar inadvertit davant d'Elastic Security EDR, cosa que posa en relleu limitacions rellevants en la detecció a nivell de kernel. Aquesta prova de concepte no és mera teoria: combina tècniques d'ofuscació i evasió per reduir a zero senyals que normalment delatarien un mòdul maliciós.
La troballa preocupa equips de seguretat europeus, també a Espanya, perquè Elastic sol activar més de 26 alertes davant de rootkits convencionals, i en aquest cas no han saltat. La investigació, publicada amb fins educatius per 0xMatheuZ, evidencia que els mètodes basats en firmes i patrons queden curts davant d'adversaris que refinen la seva enginyeria.
Com burla Elastic EDR: tècniques clau d'evasió
La primera carta de Singularity és la ofuscació de cadenes en temps de compilació. Fragmenta literals sensibles (per exemple, GPL o kallsyms_lookup_name) en trossos contigus que el compilador C recompon automàticament, evitant que escàners com YARA trobin cadenes malicioses contínues sense sacrificar funcionalitat.
En paral·lel aplica aleatorització de noms de símbols. En lloc d'identificadors predictibles com hook_getdents o hide_module, adopta etiquetes genèriques amb prefixos que imiten el mateix nucli (sys, kern, dev), difuminant el rastre de funcions sospitoses i desarmant regles de detecció basades en noms.
El següent moviment és la fragmentació del mòdul en peces xifrades que es reassemblen només en memòria. Els fragments es codifiquen amb XOR i un carregador utilitza memfd_create per evitar restes al disc; a l'hora d'inserir-lo, recorre a trucades al sistema directes (inclosa finit_module) mitjançant assemblador inline, esquivant embolcalls de libc que molts EDR vigilen.
També camufla auxiliars de ftrace: funcions típicament monitoritzades (com fh_install_hook o fh_remove_hook) es renomenen de forma determinista amb identificadors aleatoris, mantenint el seu comportament però trencant firmes d'Elastic orientades a rootkits genèrics.
En el pla conductual, els investigadors eviten regles per a shells reversos escrivint primer el payload a disc i executant-lo amb línies d'ordres “netes”. A més, el rootkit amaga immediatament els processos en execució mitjançant senyals específics, complicant la correlació entre esdeveniments i activitat real.
Capacitats del rootkit i riscos per a entorns europeus
Més enllà de l'evasió, Singularity incorpora funcions ofensives: pot amagar processos a /proc, amagar fitxers i directoris associats a patrons com «singularity» o «matheuz», i dissimular connexions TCP (per exemple, al port 8081). També habilita escalada de privilegis mitjançant senyals personalitzats o variables d'entorn, i ofereix un backdoor per ICMP capaç dactivar shells remotes.
El projecte afegeix defenses antianàlisi, bloquejant traces i sanititzant registres per reduir el soroll forense. El carregador es compila de forma estàtica i pot operar en ubicacions menys vigilades, reforçant una cadena d'execució on el mòdul complet mai trepitja el disc i, per tant, l‟anàlisi estàtica es queda sense material.
Per a les organitzacions a Espanya i la resta d'Europa que depenen d'Elastic Defend, el cas obliga a revisar regles de detecció i enfortir la supervisió a baix nivell. La combinació d'ofuscació, càrrega en memòria i syscalls directes revela una superfície on els controls basats només en comportament no capturen el context del nucli.
Els equips SOC haurien de prioritzar el monitoratge de la integritat del nucli (per exemple, validació de LKMs i proteccions contra càrrega no autoritzada), incorporar forense de memòria i correlació de senyals eBPF amb telemetria del sistema, i aplicar defensa en profunditat que barregi heurística, llistes blanques, hardening i actualització contínua de signatures.
En entorns crítics, convé endurir polítiques per reduir la superfície d'atac: limitar o desactivar la capacitat de carregar mòduls, reforçar polítiques de capabilities (CAP_SYS_MODULE), vigilar lús de memfd_create i validar anomalies en noms de símbols. Tot això, sense dependre en exclusiva de EDR, sinó combinant múltiples capes de control i comprovacions creuades.
El cas Singularity posa de manifest que, davant d'adversaris que perfeccionen la seva ofuscació, els defensors han d'evolucionar cap a tècniques d'anàlisi més profundes i orquestrades. La detecció fiable d'amenaces al nucli passa per sumar integritat, memòria i correlació avançada als EDR per reduir punts cecs i elevar el llistó de la resistència.