Интересно Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux.

Admin

Admin

Администратор

Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux.


1769377557822

Автор описывает скрытие процессов и файлов, маскировку сети и антидетект-подходы.


Если вы привыкли думать, что «все важное видно в логах», Singularity создан ровно для того, чтобы спорить с этим тезисом на уровне ядра. Исследователь безопасности Матеус Алвес (Matheus Alves), который занимается темой вредоносного ПО и offensive-направлением, обновил свой открытый проект Singularity, это руткит в виде модуля ядра Linux (LKM), распространяемый под лицензией MIT.

По описанию автора, Singularity ориентирован на современные ядра ветки 6.x и делает ставку на «стелс» через перехват системных вызовов с использованием инфраструктуры ftrace. В актуальной версии в одном месте собраны механики, которые обычно приходится искать по разным PoC: скрытие процессов и файлов, маскировка сетевых соединений и портов, «самоскрытие» модуля, фильтрация вывода dmesg и журналов, а также отдельные модули противодействия детекту, включая обход LKRG и сокрытие активности от eBPF-инструментов рантайм-безопасности вроде Falco и Tracee.

Отдельно выделяются вещи, которые важны не столько «для эффекта», сколько для реальной операционной стойкости руткита: проект заявляет фильтрацию audit-сообщений на уровне netlink, сокрытие следов в procfs (включая /proc/kcore и /proc/kallsyms) и даже обход SELinux enforcing в связке с триггером через ICMP. В разборе по обходу Elastic Security автор прямо описывает сценарии, где свежая версия Singularity использует ICMP-хук как механизм запуска обратного подключения и параллельно пытается уходить от поведенческих правил EDR.

Судя по истории коммитов, проект активно допиливается в январе 2026 года: 20 января в репозиторий ушли изменения, затрагивающие модуль обхода LKRG (в частности, правки, связанные с режимом notrace в ключевых функциях), а 8 января обновлялось README с уточнениями по протестированным версиям ядра. При этом оформленных GitHub-релизов у проекта пока нет, обновления публикуются прямо в основной ветке.

Важно проговорить очевидное: подобные проекты полезны защитникам ровно до тех пор, пока остаются в лаборатории и используются как материал для моделирования угроз, проверки телеметрии и качества детектов. Публикация и развитие Singularity, как бы это ни звучало, это еще один «контрольный выстрел» в иллюзию, что мониторинг на уровне user space и аккуратные правила на события всегда увидят атаку, если злоумышленник уже добрался до ядра.
 
Последнее редактирование:
Для ответа нужно войти/зарегистрироваться
Похожие темы
G Reverse Shell через конфигурационный файл OpenVPN Полезные статьи 0
T Reverse-shell upgrade Полезные статьи 0
Admin Статья Разведка с geo2ip и reverse-whois OSINT 0
F Модифицированный Evilginx2 Modified Evilginx2 / Reverse Proxy Phishing Ищу работу. Предлагаю свои услуги. 0
U Интересно Reverse Engenireeng - вскрываем протектор Enigma Полезные статьи 0
E need shell Аккаунты: сервисы, сайты, соц. сети 0
L Интересно Java - Получаем SHELL через Minecraft плагин Программирование 7
NickelBlack Jex Bot V5 | Auto Shell Bot Готовый софт 2
T Ani Shell v.1.3 Готовый софт 1
G Заливка WEB-Shell WSO на уязвимые сайты. Для новичков )) Полезные статьи 2
G Skipfish - Сканер безопасности веб-приложений для определения XSS, SQL инъекции, а также Shell инъекции Уязвимости и взлом 0
G Загрузка shell в WEB-сервер. PhpMyAdmin Уязвимости и взлом 0
I Огромная подборка софта для работы с SHELL Готовый софт 2
Admin Статья Управляй компьютером через сотовый! Полезные статьи 0
Admin Статья Поднимаем личный VPN-сервер за 30 мин на своем VPS через Amnezia VPN Анонимность и приватность 0
Admin Статья Поднимаем свой XMPP сервер через i2p в 2025. Полезные статьи 0
Admin Статья Генерируем варианты утерянного пароля через HashCat Полезные статьи 0
Admin Статья Находим бекенд айпи сайта за CDN через дедупликацию OSINT 0
Admin Статья Разбираем инциденты, анализируем honeypots через дашборды для поимки хищников, атакующих нашу инфраструктуру. [Part 2] Анонимность и приватность 0
Admin Статья Деанонимизация через «забытые» утечки OSINT 0
Admin Интересно ИИ стал предателем: LangChain взламывают через ответы самой модели — она сама крадёт ваши секреты. Новости в сети 0
Admin Статья SQL-инъекции: Анатомия атаки и искусство защиты через Prepared Statements Уязвимости и взлом 0
Admin Статья Безопасное использование джаббера через .onion Анонимность и приватность 0
Admin Интересно Через кряки и YouTube распространяют новые загрузчики вредоносов. Новости в сети 0
Admin Интересно Киберпанк в Средиземном море. Французы ищут, какая держава хотела угнать паром через интернет. Новости в сети 0
Admin Интересно А что, так можно было? В системных утилитах FreeBSD нашли уязвимость, позволяющую исполнять чужой код через обычный роутер. Новости в сети 0
Support81 45 тыс фунтов за одно покушение — беглый топ-менеджер Wirecard финансировал шпионов и киллеров через крипту Новости в сети 0
Support81 «Менеджер» с архивом и черным ходом через Yandex. Как группировка APT31 годами шпионила за российскими IT-компаниями Новости в сети 1
Support81 Хакеры захватили 8,7 млн WordPress-сайтов за два дня — атакуют через критические уязвимости в популярных плагинах Новости в сети 0
Support81 Анонимности — конец: депутат Госдумы пообещал, что через три года все действия в российском интернете будут деанонимизированы Новости в сети 3
turbion0 Мошенники похищают аккаунты на «Госуслугах» через объявления Новости в сети 0
Support81 RCE через Game Pass: тысячи ПК взломаны через Call of Duty Новости в сети 0
Support81 Microsoft снова сыграла на руку хакерам — корпоративные сети ломают через официальный софт Новости в сети 0
Support81 SMS для Google и Meta? Перешлём через Намибию, Чечню и швейцарский гараж Новости в сети 0
Support81 JSFireTruck и HelloTDS: новая инфраструктура веб-атак через легитимные домены Новости в сети 0
Support81 Забудьте о вирусах в письмах — теперь ими заражаются через вертикальные видео в TikTok Новости в сети 0
Support81 Миллиарды наркодолларов идут через WeChat — прокуратура вскрыла схему картелей и китайских банков Новости в сети 0
Support81 Seed → POST-запрос → пустой баланс: как устроена быстрая и чистая кража крипты через FreeDrain Новости в сети 0
turbion0 Мошенники выдают фальшивые акции банков в Telegram и воруют деньги через фишинг Новости в сети 0
Support81 Одно касание — и прощайте, деньги: китайская SuperCard X ворует данные карт через NFC-модуль Новости в сети 0
turbion0 Мошенники получают доступ к банковским реквизитам через фейковые сайты. Новости в сети 0
Support81 Хакеры наносят удар через Google Ads: юристы — главная цель Новости в сети 0
Support81 StilachiRAT: хищная киберкрыса похищает биткоины и подглядывает за вами через веб-камеру Новости в сети 0
Support81 Яд в коде: злоумышленники заставляют ИИ внедрять бэкдоры через Unicode-символы Новости в сети 0
Support81 «Мир не готов»: эксперты предсказывают появление сверхразума через год Новости в сети 0
Support81 Вирус в заявке: как Zhong Stealer «ломает» компании через службу поддержки Новости в сети 0
Support81 Фейковая «Безопасность»: Telegram-аккаунты снова крадут через сообщения Новости в сети 0
Support81 WantToCry: новое поколение вымогателей атакует через незащищённый SMB Новости в сети 0
wrangler65 Интересно Как сэкономить до 70% на переводах USDT TRC-20 через энергию Полезные статьи 0
Support81 Слежка через смартфоны: новый скандал с участием спецслужб Новости в сети 0

Название темы