Матеус Алвес (Matheus Alves), исследователь безопасности, специализирующийся на вредоносном ПО, опубликовал обновление проекта Singularity, развивающего открытый руткит для ядра Linux, распространяемый под лицензией MIT. Целью проекта является демонстрация методов, позволяющих скрыть своё присутствие после получения root-доступа и сохранить возможность скрытого выполнения привилегированных операций. Предполагается, что Singularity может быть полезен исследователям безопасности для тестирования и разработки утилит обнаружения и блокирования руткитов...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64663
Для Linux даже бекдоры опенсорсные?
Ну а ты думал! ТруЪ
Бекдор != руткит
Скажу больше. Даже лицензируются.
Годно.
Тоже понравилось. Так это открытый, а сколько закрытых существует... ммм :)
Отлично! будет чем обходить корпоративные запреты на рабочем ноутбуке.
и много у рута запретов?
пишут что можно настроить такие политики SELinux, что и у рута появиться ограничения
настроить-то можно, только работать после этого будет разьве что xterm, да и тот не весь.
Вообще-то RBAC и всё гуд.
Достаточно, поверх рута проверка целостности и краудстрайк которые пока зеленым не загорятся во внутреннюю сеть не пустят.
Да и рут в линуксе не сложно добыть даже если его нет, повышение привелегий уязвимость регулярная.
Против недобросовестных заказчиков самое то.
Звучит пугающе!
> распространяемый под лицензией MIT.А вот было бы под GPL можно было бы требовать открытие исходников у всяких контор. Думайте!
Да тут прям флеш-рояль!
Работает через insmod, в то время при любом hardening обычно динамическую загрузку модулей выключают, не говоря уж про то что для самого insmod требуются большие права
да и дома модули обычно не нужны, если у тебя стационар
В любой curl | sudo добавь это и всё.
Прикол тут в том что какой попало модуль все равно не загрузишь даже если они разрешены> Prerequisites
> Kernel headers for your running kernelкроме рута надо еще ключи от дома - надо собрать этот модуль с тем ядром что сейчас запущено
так а что мешает заголовки установить/скачать?
Вообще если немного попарсить eBPF, их можно генерить на ходу, есть даже открытый проект на эту тему. Для старых ядер свои методы, качать ничего не придется. Впрочем и serverside компиляция тоже работает, см VoidLink
Упоминается kprobe значит ли это что kde точно можно будет всяко ломать ?
Нынче повысить их не так уж и сложно, учитывая новости про рутовые рцэ
>и использует механизм ftrace для незаметного перехвата системных вызовов без изменения точек входа в системные вызовы и без модификации функций ядраНадо будет почитать. А то в stable api is nonsence все старые мануалы давно устарели.
Надеюсь увидеть комментарий Solar Designer
И что это значит?
ну лол. обход лкрг в виде модуля ядра - не интересно.
ибо он в тч умеет запрещать их загрузку. я уж молчу, что сначала кто-то должен этот руткит подписать
AFAIK в паблике обход LKRG был только от одного человека, да и подписание модулей не типично для облака, разве что у MS. Другое дело, что обход LKRG это просто задачка, экономической эффективности 0.
Кстати, вот еще одна: как загрузить ядерный код на старом ядре с актуальными патчами, при запрете на загрузку модулей. Вы возможно удивитесь, но правильных ответов несколько.
Ни одна домохозяйка установить не сможет. Вывод: Линукс не готов для десктопа.
Работает это довольно медленно, но как концепт того, что можно выжать из ftrace - cool. Кое-что пока фильрует в лоб, из-за чего руинит форматы вывода.
Собственные хуки защищает только от usermode, перестал блокировать модули и eBPF - в таком виде не опасен.
Сейчас еще не поленился изучить хуки LKRG и EDR, это точно кому-то пригодится... + годный дискорд
так это не уязвимость, а фича всех хtrace