Linux İçin Açık Kaynak Rootkit: Singularity

Matheus Alves tarafından geliştirilen Singularity, Linux sistemleri için tasarlanmış, ücretsiz ve açık kaynaklı bir rootkit'tir. Geleneksel rootkit'lerin aksine, Singularity tamamen açık kaynak felsefesini benimseyerek güvenlik araştırmacılarına yeni bir test ortamı sunmayı hedeflemektedir. Amacı, sistemlerde uzaktan kod çalıştırma, güvenlik özelliklerini devre dışı bırakma ve dosya ile süreçleri gizleme gibi yetenekleri sergileyerek mevcut tehditleri ve olası savunma mekanizmalarını daha iyi anlamaktır. Geliştiricisi, yazılımın yalnızca yasal ve izinli ortamlarda araştırma amaçlı kullanılmasını şiddetle tavsiye etmektedir.

Singularity'nin temel odak noktası, bir sisteme sızıldıktan sonra çekirdekte tespit edilmeden varlığını sürdürmektir. Bunu başarmak için, çekirdeğin mevcut Ftrace mekanizmasını kullanır. Ftrace sayesinde, rootkit sistem çağrılarını işleyen fonksiyonlara kanca atar ve yanıtlarını değiştirerek kendi varlığını gizler. Bu yöntem, eski rootkit'lerin tespit edilme yollarından biri olan CPU tuzak işleme vektörünü değiştirmekten kaçınır ve çekirdek fonksiyonlarını doğrudan yamalamak yerine Ftrace'in sağladığı kancaları kullanır. Böylece, çekirdek makine kodunda doğrudan, kolayca tespit edilebilir değişiklikler yapmaktan kaçınır. Singularity ayrıca Ftrace mekanizmasını otomatik olarak etkinleştirir ve devre dışı bırakma girişimlerini engeller.

Bu rootkit, kendi varlığını, saldırgan tarafından kontrol edilen süreçleri, bu süreçlerle yapılan ağ iletişimini ve kullanılan dosyaları gizleme yeteneğine sahiptir. Açık kaynak lisansı (MIT) altında sunulması, güvenlik topluluğunun bu tür tehditleri daha derinlemesine incelemesine ve bunlara karşı daha etkili savunma stratejileri geliştirmesine olanak tanır. Singularity, siber güvenlik alanında "ne mümkün" sorusuna pratik bir yanıt sunarak, gelecekteki güvenlik araştırmalarına önemli katkılar sağlamayı amaçlamaktadır.