Интересно Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux.

Admin

Admin

Администратор

Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux.


1769377557822

Автор описывает скрытие процессов и файлов, маскировку сети и антидетект-подходы.


Если вы привыкли думать, что «все важное видно в логах», Singularity создан ровно для того, чтобы спорить с этим тезисом на уровне ядра. Исследователь безопасности Матеус Алвес (Matheus Alves), который занимается темой вредоносного ПО и offensive-направлением, обновил свой открытый проект Singularity, это руткит в виде модуля ядра Linux (LKM), распространяемый под лицензией MIT.

По описанию автора, Singularity ориентирован на современные ядра ветки 6.x и делает ставку на «стелс» через перехват системных вызовов с использованием инфраструктуры ftrace. В актуальной версии в одном месте собраны механики, которые обычно приходится искать по разным PoC: скрытие процессов и файлов, маскировка сетевых соединений и портов, «самоскрытие» модуля, фильтрация вывода dmesg и журналов, а также отдельные модули противодействия детекту, включая обход LKRG и сокрытие активности от eBPF-инструментов рантайм-безопасности вроде Falco и Tracee.

Отдельно выделяются вещи, которые важны не столько «для эффекта», сколько для реальной операционной стойкости руткита: проект заявляет фильтрацию audit-сообщений на уровне netlink, сокрытие следов в procfs (включая /proc/kcore и /proc/kallsyms) и даже обход SELinux enforcing в связке с триггером через ICMP. В разборе по обходу Elastic Security автор прямо описывает сценарии, где свежая версия Singularity использует ICMP-хук как механизм запуска обратного подключения и параллельно пытается уходить от поведенческих правил EDR.

Судя по истории коммитов, проект активно допиливается в январе 2026 года: 20 января в репозиторий ушли изменения, затрагивающие модуль обхода LKRG (в частности, правки, связанные с режимом notrace в ключевых функциях), а 8 января обновлялось README с уточнениями по протестированным версиям ядра. При этом оформленных GitHub-релизов у проекта пока нет, обновления публикуются прямо в основной ветке.

Важно проговорить очевидное: подобные проекты полезны защитникам ровно до тех пор, пока остаются в лаборатории и используются как материал для моделирования угроз, проверки телеметрии и качества детектов. Публикация и развитие Singularity, как бы это ни звучало, это еще один «контрольный выстрел» в иллюзию, что мониторинг на уровне user space и аккуратные правила на события всегда увидят атаку, если злоумышленник уже добрался до ядра.
 
Последнее редактирование:
Для ответа нужно войти/зарегистрироваться
Похожие темы
G Reverse Shell через конфигурационный файл OpenVPN Полезные статьи 0
T Reverse-shell upgrade Полезные статьи 0
Admin Статья Разведка с geo2ip и reverse-whois OSINT 0
F Модифицированный Evilginx2 Modified Evilginx2 / Reverse Proxy Phishing Ищу работу. Предлагаю свои услуги. 0
U Интересно Reverse Engenireeng - вскрываем протектор Enigma Полезные статьи 0
E need shell Аккаунты: сервисы, сайты, соц. сети 0
L Интересно Java - Получаем SHELL через Minecraft плагин Программирование 7
NickelBlack Jex Bot V5 | Auto Shell Bot Готовый софт 2
T Ani Shell v.1.3 Готовый софт 1
G Заливка WEB-Shell WSO на уязвимые сайты. Для новичков )) Полезные статьи 2
G Skipfish - Сканер безопасности веб-приложений для определения XSS, SQL инъекции, а также Shell инъекции Уязвимости и взлом 0
G Загрузка shell в WEB-сервер. PhpMyAdmin Уязвимости и взлом 0
I Огромная подборка софта для работы с SHELL Готовый софт 2
Admin Интересно Новая уязвимость в Microsoft Exchange Server активно эксплуатируется через специально созданные письма. Новости в сети 0
Admin Интересно Хакеры шесть лет скрывались, а теперь взломали тысячи сайтов через уязвимость в cPanel. Новости в сети 0
Admin Интересно Новая уязвимость Fragnesia в ядре Linux позволяет получить root-доступ через повреждение кэша страниц. Новости в сети 0
Admin Интересно Китайские хакеры атаковали азербайджанскую энергетическую компанию через уязвимости Microsoft Exchange. Новости в сети 0
Admin Интересно Одна квартира — 55 жильцов. Хозяйка не знала ни об одном. Всех прописали через её «Госуслуги». Новости в сети 0
LibreCas Долгосрочная аренда номеров под sms через телеграм бот Все остальное 0
Admin Интересно Apple предупреждает пользователей macOS о новых угрозах через терминал. Новости в сети 0
Admin Интересно Банковский троян TCLBANKER атакует финансовые платформы через WhatsApp и Outlook. Новости в сети 0
Admin Интересно Мошенники используют NFC на Android для хищения денег через банкоматы. Новости в сети 0
Admin Интересно Вредоносные пакеты PyPI распространяют ZiChatBot через Zulip API на Windows и Linux. Новости в сети 0
Admin Интересно Windows Phone Link стал инструментом для кражи данных через CloudZ RAT. Новости в сети 0
Admin Интересно Физики объяснили работу ИИ через теорию хаоса. Новости в сети 0
Admin Интересно Северокорейские хакеры атаковали игровую платформу через вредоносные обновления. Новости в сети 0
Admin Интересно Исследователь показал, как отследить австралийских полицейских через Bluetooth. Новости в сети 0
Admin Интересно Исчезнувшая антилопа может быть возвращена к жизни через 226 лет после исчезновения. Новости в сети 0
Admin Интересно Хакеры атакуют энергосистемы через Serial-to-Ethernet конвертеры. Новости в сети 0
Admin Интересно Малый бизнес предложили защитить от сбоев связи через «Госуслуги». Новости в сети 0
Admin Интересно Бронировали отель через Agoda? Ваш номер телефона и паспортные данные уже продают на хакерском форуме. Новости в сети 0
Admin Интересно Физики проверяют границы реальности через «квантовое глушение». Новости в сети 0
Admin Интересно Google Chrome активно собирает данные пользователей через скрытые механизмы. Новости в сети 0
Admin Интересно Хакеры проникли в сеть через видеокамеру и добрались до электростанции. Ироничная реальность современной безопасности. Новости в сети 0
Admin Интересно Китайская компания Unitree выводит на рынок доступного робота R1 через AliExpress. Новости в сети 0
Admin Интересно Взлом сайта CPUID привёл к распространению вредоносного ПО через поддельные версии CPU-Z и HWMonitor. Новости в сети 0
Admin Интересно Вредоносное обновление плагина Smart Slider 3 Pro распространялось через скомпрометированные серверы Nextend. Новости в сети 0
Admin Интересно LinkedIn обвиняют в шпионаже за пользователями через браузеры. Новости в сети 0
Admin Интересно Позвони мне через пылесос. Как выживает рунет после блокировки мессенджеров. Новости в сети 0
Admin Интересно Новая кибератака через WhatsApp превращает компьютеры в инструменты хакеров. Новости в сети 0
Admin Интересно Microsoft предупреждает о вредоносных VBS-файлах, распространяемых через WhatsApp. Новости в сети 0
Admin Интересно Повестки в военкомат и отзыв аккредитации. Чем грозит персоналу ИТ-компаний работа приложений через VPN. Новости в сети 0
Admin Интересно Группировка TeamPCP провела масштабную атаку через аудиофайлы. Новости в сети 0
Admin Интересно Axios подвергся атаке на цепочку поставок через скомпрометированный аккаунт npm. Новости в сети 0
Admin Интересно Хакеры использовали WAV-файл для кражи данных через Python-библиотеку. Новости в сети 0
Admin Интересно В Telegram обнаружена уязвимость, позволяющая захватить устройство через анимированные стикеры. Новости в сети 0
Admin Интересно Российский инструмент CTRL распространяется через вредоносные файлы LNK и захватывает RDP. Новости в сети 0
Admin Интересно Физики изучили глюоны через редкие события в Большом адронном коллайдере. Новости в сети 0
Admin Интересно Китайская группа Red Menshen использует скрытые импланты BPFDoor для шпионажа через телекоммуникационные сети. Новости в сети 0
Admin Интересно Атака CanisterWom заражает пакеты npm через украденные токены. Новости в сети 0

Название темы