Интересно Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux.

Admin

Admin

Администратор

Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux.


1769377557822

Автор описывает скрытие процессов и файлов, маскировку сети и антидетект-подходы.


Если вы привыкли думать, что «все важное видно в логах», Singularity создан ровно для того, чтобы спорить с этим тезисом на уровне ядра. Исследователь безопасности Матеус Алвес (Matheus Alves), который занимается темой вредоносного ПО и offensive-направлением, обновил свой открытый проект Singularity, это руткит в виде модуля ядра Linux (LKM), распространяемый под лицензией MIT.

По описанию автора, Singularity ориентирован на современные ядра ветки 6.x и делает ставку на «стелс» через перехват системных вызовов с использованием инфраструктуры ftrace. В актуальной версии в одном месте собраны механики, которые обычно приходится искать по разным PoC: скрытие процессов и файлов, маскировка сетевых соединений и портов, «самоскрытие» модуля, фильтрация вывода dmesg и журналов, а также отдельные модули противодействия детекту, включая обход LKRG и сокрытие активности от eBPF-инструментов рантайм-безопасности вроде Falco и Tracee.

Отдельно выделяются вещи, которые важны не столько «для эффекта», сколько для реальной операционной стойкости руткита: проект заявляет фильтрацию audit-сообщений на уровне netlink, сокрытие следов в procfs (включая /proc/kcore и /proc/kallsyms) и даже обход SELinux enforcing в связке с триггером через ICMP. В разборе по обходу Elastic Security автор прямо описывает сценарии, где свежая версия Singularity использует ICMP-хук как механизм запуска обратного подключения и параллельно пытается уходить от поведенческих правил EDR.

Судя по истории коммитов, проект активно допиливается в январе 2026 года: 20 января в репозиторий ушли изменения, затрагивающие модуль обхода LKRG (в частности, правки, связанные с режимом notrace в ключевых функциях), а 8 января обновлялось README с уточнениями по протестированным версиям ядра. При этом оформленных GitHub-релизов у проекта пока нет, обновления публикуются прямо в основной ветке.

Важно проговорить очевидное: подобные проекты полезны защитникам ровно до тех пор, пока остаются в лаборатории и используются как материал для моделирования угроз, проверки телеметрии и качества детектов. Публикация и развитие Singularity, как бы это ни звучало, это еще один «контрольный выстрел» в иллюзию, что мониторинг на уровне user space и аккуратные правила на события всегда увидят атаку, если злоумышленник уже добрался до ядра.
 
Последнее редактирование:
Для ответа нужно войти/зарегистрироваться
Похожие темы
G Reverse Shell через конфигурационный файл OpenVPN Полезные статьи 0
T Reverse-shell upgrade Полезные статьи 0
Admin Статья Разведка с geo2ip и reverse-whois OSINT 0
F Модифицированный Evilginx2 Modified Evilginx2 / Reverse Proxy Phishing Ищу работу. Предлагаю свои услуги. 0
U Интересно Reverse Engenireeng - вскрываем протектор Enigma Полезные статьи 0
E need shell Аккаунты: сервисы, сайты, соц. сети 0
L Интересно Java - Получаем SHELL через Minecraft плагин Программирование 7
NickelBlack Jex Bot V5 | Auto Shell Bot Готовый софт 2
T Ani Shell v.1.3 Готовый софт 1
G Заливка WEB-Shell WSO на уязвимые сайты. Для новичков )) Полезные статьи 2
G Skipfish - Сканер безопасности веб-приложений для определения XSS, SQL инъекции, а также Shell инъекции Уязвимости и взлом 0
G Загрузка shell в WEB-сервер. PhpMyAdmin Уязвимости и взлом 0
I Огромная подборка софта для работы с SHELL Готовый софт 2
Admin Интересно Уязвимость PixelSmash в FFmpeg позволяет выполнять чужие команды через повреждённые видеофайлы. Новости в сети 0
Admin Интересно Обнаружена уязвимость Squidbleed, позволяющая утечку HTTP-запросов через прокси. Новости в сети 0
Admin Интересно Microsoft обнаружила уязвимость в AutoGen Studio, позволяющую взламывать компьютеры через ИИ-агента. Новости в сети 0
Admin Интересно GitHub стал платформой для распространения вредоносного ПО через поддельные репозитории. Новости в сети 0
Admin Интересно Перчатка ThermoPhy позволяет почувствовать данные через тепло. Новости в сети 0
Admin Интересно Positive Technologies представила платформу «Киберпогода» для прогнозирования атак через внешнюю бизнес-экосистему. Новости в сети 0
Admin Интересно Женщина рассказала о грабеже через Uber Eats. Новости в сети 0
Admin Интересно 144 пакета Mastra в npm скомпрометированы через взлом учётной записи разработчика. Новости в сети 0
Admin Интересно Хакеры заразили более 1,2 миллиона сайтов WordPress через популярные расширения. Новости в сети 0
Admin Интересно Лондонские власти борются с кражами телефонов через защиту устройств. Новости в сети 0
Admin Интересно Атака на цепочку поставок затронула популярные плагины WordPress через CDN Awesome Motive. Новости в сети 0
Admin Интересно Утечка данных Dynatrace через токен доступа в GitHub. Новости в сети 0
Admin Интересно Российским программистам предложили доступ к GitHub через государственный VPN. Новости в сети 0
Admin Интересно Из «Антифрода 2.0» исключили обязательное подтверждение через мессенджер Max. Новости в сети 0
Admin Интересно Новый шпионский софт Asin атакует арабских пользователей через фейковые приложения. Новости в сети 0
Admin Интересно Уязвимость в Claude Code GitHub Action позволяла захватывать репозитории через один вредоносный запрос. Новости в сети 0
Admin Интересно Новый бэкдор FlutterShell распространяется через вредоносную рекламу Google и YouTube. Новости в сети 0
Admin Интересно Уязвимость в Google Gemini позволяла злоумышленникам управлять устройствами через уведомления. Новости в сети 0
Admin Интересно Хакер отмыл сотни миллионов долларов через блокчейн. Новости в сети 0
Admin Интересно Сокращение поверхности атаки IAM через платформы видимости и интеллекта идентификации. Новости в сети 0
Admin Интересно Зафиксирована масштабная волна атак через уязвимость в Citrix NetScaler. Новости в сети 0
Admin Интересно Счёт пришёл, атака началась. Касперский зафиксировал 13 тысяч атак через ЭДО и деловую переписку. Новости в сети 0
Admin Интересно ФСБ раскрыла масштабную операцию: российскую элиту прослушивали через телефоны. Новости в сети 0
Admin Интересно ЕС рискует создать систему массового контроля и исключения граждан через цифровизацию. Новости в сети 0
Admin Интересно Срочно меняйте ключи: Red Hat оказалась в центре атаки на цепочку поставок через npm. Новости в сети 0
Admin Интересно Веб-сайты получили новый способ слежки за пользователями через анализ активности SSD. Новости в сети 0
Admin Интересно Ботнет Glassworm атаковал разработчиков через заражённые расширения и репозитории. Новости в сети 0
Admin Интересно Хакеры взломали японскую учебную платформу через критическую уязвимость. Новости в сети 0
Admin Интересно Intel готовит для Linux новый способ соединения компьютеров через USB-кабель. Новости в сети 0
Admin Интересно Конец света по расписанию: почему теория вероятностей предсказывает финал через пару тысяч лет. Новости в сети 0
Admin Интересно GitHub подтвердил взлом внутренних репозиториев через вредоносное расширение VS Code. Новости в сети 0
Admin Интересно Купился на обновление в мессенджере? Получи скрытый троян, который смотрит на тебя через веб-камеру. Новости в сети 0
Admin Интересно Microsoft представила функцию автоматического отката драйверов через облако. Новости в сети 0
Admin Интересно Новая угроза: фишинг через OAuth обходит многофакторную аутентификацию. Новости в сети 0
Admin Интересно Новая волна атак Mini Shai-Hulud поражает npm-пакеты через взломанные аккаунты. Новости в сети 0
Admin Интересно Хакеры массово атакуют дата-центры через цепочку уязвимостей в openDCIM. Новости в сети 0
Admin Интересно Proton предупреждает: не используйте вход через Google для безопасности и приватности. Новости в сети 0

Название темы