🔵 عنوان مقاله
FlipSwitch: a Novel Syscall Hooking Technique (9 minute read)
🟢 خلاصه مقاله:
این مقاله تکنیک جدیدی به نام FlipSwitch را معرفی میکند که برای دور زدن سازوکار تازهٔ dispatch سیستمکال در kernel 6.9 طراحی شده است. برخلاف روش سنتیِ دستکاری sys_call_table، FlipSwitch مستقیماً کد ماشین در تابع x64_sys_call را پچ میکند. این روش با یافتن دستورهای call داخل دیسپچر و تغییر آفست نسبی ۴ بایتی آنها، اجرای برخی syscallها را به توابع مخرب هدایت میکند؛ بدون آنکه لازم باشد sys_call_table تغییر کند. نتیجه نشان میدهد چگونه مهاجمان با حرکت به سطح پایینترِ کد و کنترل جریان اجرا، به سختسازیهای جدید Linux پاسخ میدهند و این «مسابقه تسلیحاتی» میان تکنیکهای روتکیت و دفاعهای هسته همچنان ادامه دارد.
#LinuxKernel #Rootkit #SyscallHooking #KernelSecurity #FlipSwitch #x64_sys_call #sys_call_table
🟣لینک مقاله:
https://www.elastic.co/security-labs/flipswitch-linux-rootkit?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
FlipSwitch: a Novel Syscall Hooking Technique (9 minute read)
🟢 خلاصه مقاله:
این مقاله تکنیک جدیدی به نام FlipSwitch را معرفی میکند که برای دور زدن سازوکار تازهٔ dispatch سیستمکال در kernel 6.9 طراحی شده است. برخلاف روش سنتیِ دستکاری sys_call_table، FlipSwitch مستقیماً کد ماشین در تابع x64_sys_call را پچ میکند. این روش با یافتن دستورهای call داخل دیسپچر و تغییر آفست نسبی ۴ بایتی آنها، اجرای برخی syscallها را به توابع مخرب هدایت میکند؛ بدون آنکه لازم باشد sys_call_table تغییر کند. نتیجه نشان میدهد چگونه مهاجمان با حرکت به سطح پایینترِ کد و کنترل جریان اجرا، به سختسازیهای جدید Linux پاسخ میدهند و این «مسابقه تسلیحاتی» میان تکنیکهای روتکیت و دفاعهای هسته همچنان ادامه دارد.
#LinuxKernel #Rootkit #SyscallHooking #KernelSecurity #FlipSwitch #x64_sys_call #sys_call_table
🟣لینک مقاله:
https://www.elastic.co/security-labs/flipswitch-linux-rootkit?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
www.elastic.co
FlipSwitch: a Novel Syscall Hooking Technique — Elastic Security Labs
FlipSwitch offers a fresh look at bypassing Linux kernel defenses, revealing a new technique in the ongoing battle between cyber attackers and defenders.