Pesquisadorores Identificar uma Nova Técnica de Rootkit Chamada Flipswitch Que Consegue contornar Como defesas os recentes do kernel linux ao inserir conecta -se diretamente no código compilado do despachante de syscalls. A Técnica Surgiu Após A Mudança Introduzida no Kernel 6.9, Que Trocou A Tabela Tradicional Syscall_table por um despacho em Switch Dentro da Função x64_sySySCall, Enerrando Vetores de Sobrescritos de Ponteiros e Aprovadores Urbrescrita de Ponteiros e Apropurações Em Restróias, Afrestróias Urbrescrita de Ponteiros e Aprovadores Flipswitch.
Leia Tamboma
Polícia de SC prenda hacker Acusado de Invas
Como o Google EUA ia para migrar Seu Próprio Códão
O rootkit Localiza o Ponto de Chamada correspondente ao syscall alvo no código brutão de x64_sysCall, desabilita temporária a protefão de ESCRITA EM MEMÓRIA DO CPU AO Limpar o Bit -Bit do Registrador DAURA, e reestuário OSCREVE OSLOCUS OSLOCURO O REGRAIR DAURAT OSCREVE OSLOCO execução a um retorno de chamada Malicioso. Após A Execução do retorno de chamada, o CódO Original é Restaurado e como Protezes São reativadas, Reduzindo Vestígios Forense. Um USA Carregador inicial inicial em duas fases Camuflado num Módulo perro -étimo que obtémem endereço de smbolos via kprobe e kallsyms_lookup_name.
Para persistincia, o Carregador Remova Seus Próprios Artefatos APÓs Aplicar o Patch, Deixando Apenas A Instrução Alterada na Memória ATÉ A REMOÇÃO DO MÓDULO ou reboot de Sistema. Essa abordagem evita alteranças em estruturas de dadas púbblicas do kernel, tenando detectáveis apenas anomalias em execução de syscalls ou integridade do cósdigo em memória. Pesquisadorores alertam que ambientes em infraestrutura crítica e nuvem podem ser particularmente metadados por ataques que restaurante restaurante chameadas de sistema sem metadados alterar do kernel.
COMO MEDIDAS URGENTES DE MITIGAÇÃO, Recomenda-se Monitoramento Avançado de Integridade de Memória e De Códão Executável em Kernel, Reforço de Políticos de Carregamento de Módulos Inclui ânimo ASNUMATATATATATATATATRODOLEOL Indicadorores de KProbe e Alterações em x64_sysCall. FERRAMENTAS DE EDR/EDR PARA KERNEL E Verificações periódicas de hashes do código em memórória Ajudam um detectar esse Tipo de manipulação sofisticada.
