Интересно Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux.

Admin

Admin

Администратор

Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux.


1769377557822

Автор описывает скрытие процессов и файлов, маскировку сети и антидетект-подходы.


Если вы привыкли думать, что «все важное видно в логах», Singularity создан ровно для того, чтобы спорить с этим тезисом на уровне ядра. Исследователь безопасности Матеус Алвес (Matheus Alves), который занимается темой вредоносного ПО и offensive-направлением, обновил свой открытый проект Singularity, это руткит в виде модуля ядра Linux (LKM), распространяемый под лицензией MIT.

По описанию автора, Singularity ориентирован на современные ядра ветки 6.x и делает ставку на «стелс» через перехват системных вызовов с использованием инфраструктуры ftrace. В актуальной версии в одном месте собраны механики, которые обычно приходится искать по разным PoC: скрытие процессов и файлов, маскировка сетевых соединений и портов, «самоскрытие» модуля, фильтрация вывода dmesg и журналов, а также отдельные модули противодействия детекту, включая обход LKRG и сокрытие активности от eBPF-инструментов рантайм-безопасности вроде Falco и Tracee.

Отдельно выделяются вещи, которые важны не столько «для эффекта», сколько для реальной операционной стойкости руткита: проект заявляет фильтрацию audit-сообщений на уровне netlink, сокрытие следов в procfs (включая /proc/kcore и /proc/kallsyms) и даже обход SELinux enforcing в связке с триггером через ICMP. В разборе по обходу Elastic Security автор прямо описывает сценарии, где свежая версия Singularity использует ICMP-хук как механизм запуска обратного подключения и параллельно пытается уходить от поведенческих правил EDR.

Судя по истории коммитов, проект активно допиливается в январе 2026 года: 20 января в репозиторий ушли изменения, затрагивающие модуль обхода LKRG (в частности, правки, связанные с режимом notrace в ключевых функциях), а 8 января обновлялось README с уточнениями по протестированным версиям ядра. При этом оформленных GitHub-релизов у проекта пока нет, обновления публикуются прямо в основной ветке.

Важно проговорить очевидное: подобные проекты полезны защитникам ровно до тех пор, пока остаются в лаборатории и используются как материал для моделирования угроз, проверки телеметрии и качества детектов. Публикация и развитие Singularity, как бы это ни звучало, это еще один «контрольный выстрел» в иллюзию, что мониторинг на уровне user space и аккуратные правила на события всегда увидят атаку, если злоумышленник уже добрался до ядра.
 
Последнее редактирование:
Для ответа нужно войти/зарегистрироваться
Похожие темы
G Reverse Shell через конфигурационный файл OpenVPN Полезные статьи 0
T Reverse-shell upgrade Полезные статьи 0
Admin Статья Разведка с geo2ip и reverse-whois OSINT 0
F Модифицированный Evilginx2 Modified Evilginx2 / Reverse Proxy Phishing Ищу работу. Предлагаю свои услуги. 0
U Интересно Reverse Engenireeng - вскрываем протектор Enigma Полезные статьи 0
E need shell Аккаунты: сервисы, сайты, соц. сети 0
L Интересно Java - Получаем SHELL через Minecraft плагин Программирование 7
NickelBlack Jex Bot V5 | Auto Shell Bot Готовый софт 2
T Ani Shell v.1.3 Готовый софт 1
G Заливка WEB-Shell WSO на уязвимые сайты. Для новичков )) Полезные статьи 2
G Skipfish - Сканер безопасности веб-приложений для определения XSS, SQL инъекции, а также Shell инъекции Уязвимости и взлом 0
G Загрузка shell в WEB-сервер. PhpMyAdmin Уязвимости и взлом 0
I Огромная подборка софта для работы с SHELL Готовый софт 2
Admin Интересно Уязвимость в Google Gemini позволяла злоумышленникам управлять устройствами через уведомления. Новости в сети 0
Admin Интересно Хакер отмыл сотни миллионов долларов через блокчейн. Новости в сети 0
Admin Интересно Сокращение поверхности атаки IAM через платформы видимости и интеллекта идентификации. Новости в сети 0
Admin Интересно Зафиксирована масштабная волна атак через уязвимость в Citrix NetScaler. Новости в сети 0
Admin Интересно Счёт пришёл, атака началась. Касперский зафиксировал 13 тысяч атак через ЭДО и деловую переписку. Новости в сети 0
Admin Интересно ФСБ раскрыла масштабную операцию: российскую элиту прослушивали через телефоны. Новости в сети 0
Admin Интересно ЕС рискует создать систему массового контроля и исключения граждан через цифровизацию. Новости в сети 0
Admin Интересно Срочно меняйте ключи: Red Hat оказалась в центре атаки на цепочку поставок через npm. Новости в сети 0
Admin Интересно Веб-сайты получили новый способ слежки за пользователями через анализ активности SSD. Новости в сети 0
Admin Интересно Ботнет Glassworm атаковал разработчиков через заражённые расширения и репозитории. Новости в сети 0
Admin Интересно Хакеры взломали японскую учебную платформу через критическую уязвимость. Новости в сети 0
Admin Интересно Intel готовит для Linux новый способ соединения компьютеров через USB-кабель. Новости в сети 0
Admin Интересно Конец света по расписанию: почему теория вероятностей предсказывает финал через пару тысяч лет. Новости в сети 0
Admin Интересно GitHub подтвердил взлом внутренних репозиториев через вредоносное расширение VS Code. Новости в сети 0
Admin Интересно Купился на обновление в мессенджере? Получи скрытый троян, который смотрит на тебя через веб-камеру. Новости в сети 0
Admin Интересно Microsoft представила функцию автоматического отката драйверов через облако. Новости в сети 0
Admin Интересно Новая угроза: фишинг через OAuth обходит многофакторную аутентификацию. Новости в сети 0
Admin Интересно Новая волна атак Mini Shai-Hulud поражает npm-пакеты через взломанные аккаунты. Новости в сети 0
Admin Интересно Хакеры массово атакуют дата-центры через цепочку уязвимостей в openDCIM. Новости в сети 0
Admin Интересно Proton предупреждает: не используйте вход через Google для безопасности и приватности. Новости в сети 0
Admin Интересно Новая уязвимость в Microsoft Exchange Server активно эксплуатируется через специально созданные письма. Новости в сети 0
Admin Интересно Хакеры шесть лет скрывались, а теперь взломали тысячи сайтов через уязвимость в cPanel. Новости в сети 0
Admin Интересно Новая уязвимость Fragnesia в ядре Linux позволяет получить root-доступ через повреждение кэша страниц. Новости в сети 0
Admin Интересно Китайские хакеры атаковали азербайджанскую энергетическую компанию через уязвимости Microsoft Exchange. Новости в сети 0
Admin Интересно Одна квартира — 55 жильцов. Хозяйка не знала ни об одном. Всех прописали через её «Госуслуги». Новости в сети 0
LibreCas Долгосрочная аренда номеров под sms через телеграм бот Все остальное 0
Admin Интересно Apple предупреждает пользователей macOS о новых угрозах через терминал. Новости в сети 0
Admin Интересно Банковский троян TCLBANKER атакует финансовые платформы через WhatsApp и Outlook. Новости в сети 0
Admin Интересно Мошенники используют NFC на Android для хищения денег через банкоматы. Новости в сети 0
Admin Интересно Вредоносные пакеты PyPI распространяют ZiChatBot через Zulip API на Windows и Linux. Новости в сети 0
Admin Интересно Windows Phone Link стал инструментом для кражи данных через CloudZ RAT. Новости в сети 0
Admin Интересно Физики объяснили работу ИИ через теорию хаоса. Новости в сети 0
Admin Интересно Северокорейские хакеры атаковали игровую платформу через вредоносные обновления. Новости в сети 0
Admin Интересно Исследователь показал, как отследить австралийских полицейских через Bluetooth. Новости в сети 0
Admin Интересно Исчезнувшая антилопа может быть возвращена к жизни через 226 лет после исчезновения. Новости в сети 0
Admin Интересно Хакеры атакуют энергосистемы через Serial-to-Ethernet конвертеры. Новости в сети 0
Admin Интересно Малый бизнес предложили защитить от сбоев связи через «Госуслуги». Новости в сети 0

Название темы