Интересно Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux.

Admin

Admin

Администратор

Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux.


1769377557822

Автор описывает скрытие процессов и файлов, маскировку сети и антидетект-подходы.


Если вы привыкли думать, что «все важное видно в логах», Singularity создан ровно для того, чтобы спорить с этим тезисом на уровне ядра. Исследователь безопасности Матеус Алвес (Matheus Alves), который занимается темой вредоносного ПО и offensive-направлением, обновил свой открытый проект Singularity, это руткит в виде модуля ядра Linux (LKM), распространяемый под лицензией MIT.

По описанию автора, Singularity ориентирован на современные ядра ветки 6.x и делает ставку на «стелс» через перехват системных вызовов с использованием инфраструктуры ftrace. В актуальной версии в одном месте собраны механики, которые обычно приходится искать по разным PoC: скрытие процессов и файлов, маскировка сетевых соединений и портов, «самоскрытие» модуля, фильтрация вывода dmesg и журналов, а также отдельные модули противодействия детекту, включая обход LKRG и сокрытие активности от eBPF-инструментов рантайм-безопасности вроде Falco и Tracee.

Отдельно выделяются вещи, которые важны не столько «для эффекта», сколько для реальной операционной стойкости руткита: проект заявляет фильтрацию audit-сообщений на уровне netlink, сокрытие следов в procfs (включая /proc/kcore и /proc/kallsyms) и даже обход SELinux enforcing в связке с триггером через ICMP. В разборе по обходу Elastic Security автор прямо описывает сценарии, где свежая версия Singularity использует ICMP-хук как механизм запуска обратного подключения и параллельно пытается уходить от поведенческих правил EDR.

Судя по истории коммитов, проект активно допиливается в январе 2026 года: 20 января в репозиторий ушли изменения, затрагивающие модуль обхода LKRG (в частности, правки, связанные с режимом notrace в ключевых функциях), а 8 января обновлялось README с уточнениями по протестированным версиям ядра. При этом оформленных GitHub-релизов у проекта пока нет, обновления публикуются прямо в основной ветке.

Важно проговорить очевидное: подобные проекты полезны защитникам ровно до тех пор, пока остаются в лаборатории и используются как материал для моделирования угроз, проверки телеметрии и качества детектов. Публикация и развитие Singularity, как бы это ни звучало, это еще один «контрольный выстрел» в иллюзию, что мониторинг на уровне user space и аккуратные правила на события всегда увидят атаку, если злоумышленник уже добрался до ядра.
 
Последнее редактирование:
Для ответа нужно войти/зарегистрироваться
Похожие темы
G Reverse Shell через конфигурационный файл OpenVPN Полезные статьи 0
T Reverse-shell upgrade Полезные статьи 0
Admin Статья Разведка с geo2ip и reverse-whois OSINT 0
F Модифицированный Evilginx2 Modified Evilginx2 / Reverse Proxy Phishing Ищу работу. Предлагаю свои услуги. 0
U Интересно Reverse Engenireeng - вскрываем протектор Enigma Полезные статьи 0
E need shell Аккаунты: сервисы, сайты, соц. сети 0
L Интересно Java - Получаем SHELL через Minecraft плагин Программирование 7
NickelBlack Jex Bot V5 | Auto Shell Bot Готовый софт 2
T Ani Shell v.1.3 Готовый софт 1
G Заливка WEB-Shell WSO на уязвимые сайты. Для новичков )) Полезные статьи 2
G Skipfish - Сканер безопасности веб-приложений для определения XSS, SQL инъекции, а также Shell инъекции Уязвимости и взлом 0
G Загрузка shell в WEB-сервер. PhpMyAdmin Уязвимости и взлом 0
I Огромная подборка софта для работы с SHELL Готовый софт 2
Admin Интересно Хакеры проникли в сеть через видеокамеру и добрались до электростанции. Ироничная реальность современной безопасности. Новости в сети 0
Admin Интересно Китайская компания Unitree выводит на рынок доступного робота R1 через AliExpress. Новости в сети 0
Admin Интересно Взлом сайта CPUID привёл к распространению вредоносного ПО через поддельные версии CPU-Z и HWMonitor. Новости в сети 0
Admin Интересно Вредоносное обновление плагина Smart Slider 3 Pro распространялось через скомпрометированные серверы Nextend. Новости в сети 0
Admin Интересно LinkedIn обвиняют в шпионаже за пользователями через браузеры. Новости в сети 0
Admin Интересно Позвони мне через пылесос. Как выживает рунет после блокировки мессенджеров. Новости в сети 0
Admin Интересно Новая кибератака через WhatsApp превращает компьютеры в инструменты хакеров. Новости в сети 0
Admin Интересно Microsoft предупреждает о вредоносных VBS-файлах, распространяемых через WhatsApp. Новости в сети 0
Admin Интересно Повестки в военкомат и отзыв аккредитации. Чем грозит персоналу ИТ-компаний работа приложений через VPN. Новости в сети 0
Admin Интересно Группировка TeamPCP провела масштабную атаку через аудиофайлы. Новости в сети 0
Admin Интересно Axios подвергся атаке на цепочку поставок через скомпрометированный аккаунт npm. Новости в сети 0
Admin Интересно Хакеры использовали WAV-файл для кражи данных через Python-библиотеку. Новости в сети 0
Admin Интересно В Telegram обнаружена уязвимость, позволяющая захватить устройство через анимированные стикеры. Новости в сети 0
Admin Интересно Российский инструмент CTRL распространяется через вредоносные файлы LNK и захватывает RDP. Новости в сети 0
Admin Интересно Физики изучили глюоны через редкие события в Большом адронном коллайдере. Новости в сети 0
Admin Интересно Китайская группа Red Menshen использует скрытые импланты BPFDoor для шпионажа через телекоммуникационные сети. Новости в сети 0
Admin Интересно Атака CanisterWom заражает пакеты npm через украденные токены. Новости в сети 0
Admin Интересно Хакеры взламывают компании через забытое обновление Quest. Новости в сети 0
Admin Интересно Фишинговая атака через Device Code затронула более 340 организаций Microsoft 365. Новости в сети 0
Admin Интересно ФБР предупреждает о кибератаках через Telegram. Новости в сети 0
Admin Интересно Вредоносные версии Trivy распространяют стилер через Docker и запускают червя и випер для Kubernetes. Новости в сети 0
Admin Интересно Атака на цепочку поставок Trivy привела к распространению червя CanisterWorm через 47 npm-пакетов. Новости в сети 0
Admin Интересно Критическая уязвимость в Langflow эксплуатируется через 20 часов после публикации. Новости в сети 0
Admin Интересно Госдума приняла законопроект об уведомлениях о кредитах через Госуслуги. Новости в сети 0
Admin Интересно Домены только через «Госуслуги». С 1 сентября правила регистрации сайтов в России изменятся навсегда. Новости в сети 0
Admin Интересно Уязвимость в Ubuntu позволяет злоумышленникам получить права root через временную атаку. Новости в сети 0
Admin Интересно Киберпреступники используют ClickFix для распространения macOS-трояна через поддельные установщики ИИ-инструментов. Новости в сети 0
Admin Интересно Storm-2561 распространяет троянские VPN-клиенты через SEO-отравление для кражи учетных данных. Новости в сети 0
Admin Интересно Хакеры взламывают сайты на WordPress и распространяют вредоносное ПО через поддельные CAPTCHA. Новости в сети 0
Admin Интересно Как предотвратить утечку данных через ИИ: вебинар по аудиту современных агентских процессов. Новости в сети 0
Admin Интересно Proton Mail передал данные пользователя ФБР через платёжные реквизиты. Новости в сети 0
Admin Интересно Новая вредоносная программа BoryptGrab распространяется через поддельные репозитории GitHub. Новости в сети 0
Admin Интересно Хакеры захватывают серверы через невидимый символ в FreeScout. Новости в сети 0
Admin Интересно Мошенники атакуют россиян через мессенджер MAX с помощью трояна «Мамонт». Новости в сети 0
Admin Интересно Шпионаж через корзину: как хакеры из APT37 используют $RECYCLE.BIN для связи с Пхеньяном. Новости в сети 0
Admin Интересно Уязвимость в Chrome позволяла вредоносным расширениям получать доступ к файлам через Gemini. Новости в сети 0
Admin Интересно Экстремисты вербуют подростков через игры и мессенджеры. Новости в сети 0

Название темы