forum.opennet.ru - "Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF" (65)

"Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF"	+/–
Сообщение от opennews (??), 23-Янв-26, 22:03
Матеус Алвес (Matheus Alves), исследователь безопасности, специализирующийся на вредоносном ПО, опубликовал обновление проекта Singularity, развивающего открытый руткит для ядра Linux, распространяемый под лицензией MIT. Целью проекта является демонстрация методов, позволяющих скрыть своё присутствие после получения root-доступа и сохранить возможность скрытого выполнения привилегированных операций. Предполагается, что Singularity может быть полезен исследователям безопасности для тестирования и разработки утилит обнаружения и блокирования руткитов... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64663
Ответить \| Правка \| Cообщить модератору

Оглавление

Надеюсь увидеть комментарий Solar Designer, Аноним (26), 23:14 , 23-Янв-26, (26)

Повторит позицию, что lkrg обходится by design, а кому надо побольше безопасност, Аноним (41), 02:32 , 24-Янв-26, (41)
Полезный проект, в том числе нам как разработчикам LKRG Что касается обхода 1 , solardiz (ok), 06:41 , 24-Янв-26, (45) +3

Александр, у меня в Дебиан Сид с декабрьскими коммитами LKRG самый последний ко, Аноним (70), 11:01 , 24-Янв-26, (70)

Странно, но создайте пожалуйста GitHub issue об этой остановке загрузки и понос, solardiz (ok), 11:13 , 24-Янв-26, (74)

В сиде ядро обновляется гораздо чаще , Аноним (70), 11:20 , 24-Янв-26, (75)

Для Linux даже бекдоры опенсорсные , kusb (?), 22:11 , 23-Янв-26, (2) +39

Ну а ты думал ТруЪ, Аноним (4), 22:14 , 23-Янв-26, (4) +8
Бекдор руткит, Аноним (23), 23:09 , 23-Янв-26, (23) +4

Бекдор Уязвимость , Аноним (55), 09:35 , 24-Янв-26, (55) +1

Бекдор - это бекдор, то, что сделано намеренно , Аноним (89), 13:04 , 24-Янв-26, (89)
А Винде итак сплошные бэкдоры правда в основном для Майкрософт уже из коробки , Аноним (91), 13:07 , 24-Янв-26, (91) +1

Скажу больше Даже лицензируются , 1 (??), 01:55 , 24-Янв-26, (36)

Любой код должен иметь свою лицензию и автора Допустимо, что автор может пожела, Аноним (55), 09:42 , 24-Янв-26, (57)

Среди корпоративных галерников обычно так, мне в принципе всё равно чей код испо, мелстрой (?), 10:13 , 24-Янв-26, (59) +1

Подставляешь других, кто потенциально может позаимствовать твой код в свой проек, Аноним (89), 13:07 , 24-Янв-26, (90)

Скрыто модератором, Джон Титор (ok), 15:54 , 24-Янв-26, (102)

Годно , Tron is Whistling (?), 22:12 , 23-Янв-26, (3) +1

Тоже понравилось Так это открытый, а сколько закрытых существует ммм , Аноним (4), 22:14 , 23-Янв-26, (5) +3

Отлично будет чем обходить корпоративные запреты на рабочем ноутбуке , Аноним (6), 22:20 , 23-Янв-26, (6) +2

и много у рута запретов , 12yoexpert (ok), 22:46 , 23-Янв-26, (14) +3

пишут что можно настроить такие политики SELinux, что и у рута появиться огранич, 1 (??), 22:57 , 23-Янв-26, (21)

настроить-то можно, только работать после этого будет разьве что xterm, да и тот, нах. (?), 23:13 , 23-Янв-26, (25)

Вообще-то RBAC и всё гуд , 1 (??), 01:57 , 24-Янв-26, (37)

Значит надо пользоваться Apparmor, там и у рута изначально ограничения, даже рут, Аноним (91), 13:10 , 24-Янв-26, (92)

Достаточно, поверх рута проверка целостности и краудстрайк которые пока зеленым , Аноним (22), 23:02 , 23-Янв-26, (22) –1

Против недобросовестных заказчиков самое то , Аноним (7), 22:23 , 23-Янв-26, (7) –2
Звучит пугающе , Аноним (8), 22:34 , 23-Янв-26, (8) +3
А вот было бы под GPL можно было бы требовать открытие исходников у всяких конто, Кошкажена (?), 22:34 , 23-Янв-26, (9) +7

Скрыто модератором, Джон Титор (ok), 15:58 , 24-Янв-26, (103)

Да тут прям флеш-рояль , Аноним (10), 22:36 , 23-Янв-26, (10) +2
Работает через insmod, в то время при любом hardening обычно динамическую загруз, morphe (?), 22:46 , 23-Янв-26, (13) +3

да и дома модули обычно не нужны, если у тебя стационар, 12yoexpert (ok), 22:48 , 23-Янв-26, (18) –4

А ну да, на каждый чих ядро пересобирать, чтоб только модуль добавить , Аноним (89), 13:28 , 24-Янв-26, (96)

читать научись, написано - стационар туда новые железки попадают раз в год пот, 12yoexpert (ok), 15:42 , 24-Янв-26, (101)

В любой curl 124 sudo добавь это и всё , Аноним (19), 22:48 , 23-Янв-26, (19) +1
Прикол тут в том что какой попало модуль все равно не загрузишь даже если они ра, Аноним (27), 23:22 , 23-Янв-26, (27)

так а что мешает заголовки установить скачать , 12yoexpert (ok), 23:30 , 23-Янв-26, (28) +3

Вообще если немного попарсить eBPF, их можно генерить на ходу, есть даже открыты, Аноним (35), 01:22 , 24-Янв-26, (35)

А там бац starnix вместо ядра ха-ха-ха, Аноним (27), 12:52 , 24-Янв-26, (88) –1

Упоминается kprobe значит ли это что kde точно можно будет всяко ломать , Аноним (16), 22:47 , 23-Янв-26, (16) –5

можно, 822 н 822 о 822 822 з 822 а 822 ч 822 е 822 м 822 , но при у, Аноним (52), 09:14 , 24-Янв-26, (52)

Нынче повысить их не так уж и сложно, учитывая новости про рутовые рцэ, Аноним (10), 22:49 , 23-Янв-26, (20) –1
Надо будет почитать А то в stable api is nonsence все старые мануалы давно уста, Аноним (23), 23:11 , 23-Янв-26, (24) –2
ну лол обход лкрг в виде модуля ядра - не интересно ибо он в тч умеет запрещать, мяв (?), 23:56 , 23-Янв-26, (30) +1

AFAIK в паблике обход LKRG был только от одного человека, да и подписание модуле, Аноним (35), 00:52 , 24-Янв-26, (34)

Работает это довольно медленно, но как концепт того, что можно выжать из ftrace , Аноним (35), 00:43 , 24-Янв-26, (32) +1
так это не уязвимость, а фича всех хtrace, Аноним (33), 00:51 , 24-Янв-26, (33)
А можно ли эту штуку использовать для получения рута на смартфоне , DIM (??), 02:26 , 24-Янв-26, (38)

Она не для получения рута, тебе в эксплойты , Аноним (43), 05:12 , 24-Янв-26, (43)

Да я бы и рад, но кажется их не осталось Последний раз рутовал через лет 10 наз, DIM (??), 10:32 , 24-Янв-26, (63)

Скачать, сконпелять и запустить от рута Ой, ещё надо модуль подгрузить , mos87 (ok), 08:03 , 24-Янв-26, (47) +1

Все сделают за вас и запихнут в ближайший флатпак Они позаботятся о вас в один , Аноним (66), 10:40 , 24-Янв-26, (66)

визгуны про скачать сконпелятьа как вы хотели на то это и руткит рут получается, жявамэн (ok), 10:27 , 24-Янв-26, (62) –1
Скрыто модератором, Аноним (66), 10:37 , 24-Янв-26, (65)
А если я пересоберу ядро, закину в boot и перезагружусь то он это переживет , Аноним (67), 10:44 , 24-Янв-26, (67)

Если другое ядро другой версии, то модуль тоже нужно пересобрать под это ядро , Аноним (89), 13:25 , 24-Янв-26, (95)

Ждём открытого проекта по обнаружению Singularity и ему подобных в системе , Ilya Indigo (ok), 11:02 , 24-Янв-26, (71)

уже в процессеполный выпил софта на дырявой дедовской сишечке с переходом на нор, жявамэн (ok), 12:07 , 24-Янв-26, (86) –1

Скрыто модератором, Аноним (87), 12:25 , 24-Янв-26, (87)
Скрыто модератором, Аноним (89), 13:11 , 24-Янв-26, (93)
ну да, а то не дай бог держать у себя на хосте небезопасный руткит лучше пуст, 12yoexpert (ok), 15:38 , 24-Янв-26, (100)

Скрыто модератором, Аноним (94), 13:16 , 24-Янв-26, (94)
Список незакрытых уязвимостей в Astra где-либо есть , Аноним (89), 13:30 , 24-Янв-26, (97)
У вас опечатка в ссылке такими как Falco, ghostscan, tracee, unhide Надо, Олег Бартунов (?), 14:36 , 24-Янв-26, (99)

Сообщения [Сортировка по времени | RSS]

26. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (26), 23-Янв-26, 23:14

Надеюсь увидеть комментарий Solar Designer

Ответить | Правка | Наверх | Cообщить модератору

41. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (41), 24-Янв-26, 02:32

Повторит позицию, что lkrg обходится by design, а кому надо побольше безопасности - на коммерческие форки.

Ответить | Правка | Наверх | Cообщить модератору

45. "Проект Singularity развивает открытый руткит, обходящий SELi..." +3 +/–

Сообщение от solardiz (ok), 24-Янв-26, 06:41

Полезный проект, в том числе нам как разработчикам LKRG. Что касается обхода:
1. LKRG отслеживает целостность ядра и себя самого, что зачастую распознает руткиты - например, 8 из 9 в одном исследовании. Но при этом мы намеренно позволяем работать модулям ядра, загруженным корректно выглядящим root'ом (а не только что взломанным через уязвимость в ядре) и работающим через официальные API. У нас даже есть дополнительный код, намеренно разрешающий перехват функций в ядре с помощью ftrace (который использует Singularity). Стараемся не ломать полезную функциональность. Таким образом, написать не распознаваемый нами руткит можно просто сделав его максимально корректным, без хаков. Думаю, именно поэтому в том старом исследовании один не распознался - он там был просто keylogger, а не полноценный руткит, что более вероятно реализовали без хаков.
2. Тем не менее, Singularity исходно распознавался LKRG. Отсюда и появление в нем дополнительного кода для обхода, добавленного более свежим коммитом уже после первоначального анонса проекта. В каком-то смысле это успех LKRG, что руткит, написанный без оглядки на него, всё-таки распознавался.
3. Насколько мы можем судить по коду обхода, он не сработает если включить sysctl lkrg.hide=1. Кстати, эта же настройка нарушала и обход из эксплойта от Александра Попова. Мы еще раз задумались не сделать ли эту опцию или часть ее эффекта включенной по умолчанию.
4. Вспомнили также о том что надо бы добавить notrace на больше функций в LKRG или включить это глобально через опции сборки. Это нарушит работу ftrace для перехвата функций LKRG руткитом, что Singularity делает. Кстати, вижу что Singularity сам использует notrace на свои функции - не удивлюсь если это сделано по нашему примеру, мы просто не распространили наше использование достаточно широко. https://github.com/lkrg-org/lkrg/issues/21
5. Задумались также так ли мы хотим поддерживать использование ftrace, тем более не отключаемо. Наверное, нам достаточно выкинуть или отключить часть нашего кода, и этот руткит сломается (как и другое использование ftrace).
6. Возвращаясь к тому что LKRG сейчас не предназначен для защиты от действий корректного root'а, перечисленное выше по сути имело бы мало смысла против Singularity. Мы легко можем сломать его работу одновременно с LKRG, но сейчас ничто не мешает корректному root'у просто выгрузить LKRG с помощью rmmod или фактически выключить его через sysctl до загрузки руткита. Поэтому всё это приобретет практический смысл в контексте таких руткитов только если и когда мы добавим защиту от выгрузки и изменения конфигурации LKRG. Да и то дальше будет вопрос защиты всей цепи загрузки системы, включая userland, иначе руткит можно будет загрузить через изменение файлов, используемых при следующей перезагрузке. То есть secure boot, подписи всего до загрузки LKRG, включая его самого (реализовано в RLC-H от CIQ), lockdown ядра.
7. Обходы LKRG из эксплойтов уязвимостей ядра для нас и пользователей LKRG актуальнее, чем обходы из руткитов, так как в том случае у атакующего на начальном этапе (с точки зрения LKRG) еще нет корректно выглядящего рута. Там нам есть что распознавать и от чего защищаться при нашей нынешней модели угроз. А в случае руткитов пока нет (см. пункты 1 и 6 выше).

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

70. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (70), 24-Янв-26, 11:01

Александр, у меня в Дебиан Сид с декабрьскими коммитами LKRG (самый последний коммит на момент, 58d73c94845a5e10c5114e94cdad6db3c4f45d66) приводит к остановке загрузки и поносу ошибками ядра на чёрном экране не переставая. Аппаратура - "кора дуба". Откатился на релиз. А с тех пор в репозиторий ничего нового не приземлилось. Хотя я не исключаю, что мне подкинули буткит в прошивки, даже считаю это весьма вероятным.
>Мы еще раз задумались не сделать ли эту опцию или часть ее эффекта включенной по умолчанию.
Весьма показательно ввиду коммита
>    Drop broken support for having LKRG hide itself by default

Ответить | Правка | Наверх | Cообщить модератору

74. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от solardiz (ok), 24-Янв-26, 11:13

Странно, но создайте пожалуйста GitHub issue об этой "остановке загрузки и поносу ошибками". Спасибо!
Вот ровно с этим коммитом 58d73c94 у нас LKRG загружен на тестовой системе Debian 13.1 trixie, ядро "6.12.48+deb13-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.48-1 (2025-09-20)", uptime сейчас 77 дней, без проблем.

Ответить | Правка | Наверх | Cообщить модератору

75. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (70), 24-Янв-26, 11:20

>2025-09-20
В сиде ядро обновляется гораздо чаще.

Ответить | Правка | Наверх | Cообщить модератору

2. "Проект Singularity развивает открытый руткит, обходящий SELi..." +39 +/–

Сообщение от kusb (?), 23-Янв-26, 22:11

Для Linux даже бекдоры опенсорсные?

Ответить | Правка | Наверх | Cообщить модератору

4. "Проект Singularity развивает открытый руткит, обходящий SELi..." +8 +/–

Сообщение от Аноним (4), 23-Янв-26, 22:14

Ну а ты думал! ТруЪ

Ответить | Правка | Наверх | Cообщить модератору

23. "Проект Singularity развивает открытый руткит, обходящий SELi..." +4 +/–

Сообщение от Аноним (23), 23-Янв-26, 23:09

Бекдор != руткит

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

55. "Проект Singularity развивает открытый руткит, обходящий SELi..." +1 +/–

Сообщение от Аноним (55), 24-Янв-26, 09:35

Бекдор != Уязвимость.

Ответить | Правка | Наверх | Cообщить модератору

89. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (89), 24-Янв-26, 13:04

Бекдор - это бекдор, то, что сделано намеренно.

Ответить | Правка | Наверх | Cообщить модератору

91. "Проект Singularity развивает открытый руткит, обходящий SELi..." +1 +/–

Сообщение от Аноним (91), 24-Янв-26, 13:07

А Винде итак сплошные бэкдоры (правда в основном для Майкрософт) уже из коробки идут, да и потом ещё со многими прогами в систему бэкдоры подкидываются, да и любой антивирь тот же бэкдор тоже

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

36. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от 1 (??), 24-Янв-26, 01:55

Скажу больше. Даже лицензируются.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

57. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (55), 24-Янв-26, 09:42

Любой код должен иметь свою лицензию и автора. Допустимо, что автор может пожелать остаться анонимом, но без лицензии никак. Среди программистов есть консенсус по-поводу того, что код без лицензии приравнивается к ворованному или проприетарному коду. Такой код юзать нельзя ибо влечёт за собой риски. Код без лицензии это ловушка для дураков.

Ответить | Правка | Наверх | Cообщить модератору

59. "Проект Singularity развивает открытый руткит, обходящий SELi..." +1 +/–

Сообщение от мелстрой (?), 24-Янв-26, 10:13

Среди корпоративных галерников обычно так, мне в принципе всё равно чей код использовать. Боишься что с гита снесут? Сделай зеркало в других гитах

Ответить | Правка | Наверх | Cообщить модератору

90. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (89), 24-Янв-26, 13:07

Подставляешь других, кто потенциально может позаимствовать твой код в свой проект, ничего не зная о его происхожлении.

Ответить | Правка | Наверх | Cообщить модератору

102. Скрыто модератором +/–

Сообщение от Джон Титор (ok), 24-Янв-26, 15:54

Для других ОС тоже есть опенсорсные. Вы просто вводите людей в заблуждение своим вопросом. Дело ж не в операционной системе. И самое интересное что все это знают, но пафоса подбросить нужно.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Проект Singularity развивает открытый руткит, обходящий SELi..." +1 +/–

Сообщение от Tron is Whistling (?), 23-Янв-26, 22:12

Годно.

Ответить | Правка | Наверх | Cообщить модератору

5. "Проект Singularity развивает открытый руткит, обходящий SELi..." +3 +/–

Сообщение от Аноним (4), 23-Янв-26, 22:14

Тоже понравилось. Так это открытый, а сколько закрытых существует... ммм :)

Ответить | Правка | Наверх | Cообщить модератору

6. "Проект Singularity развивает открытый руткит, обходящий SELi..." +2 +/–

Сообщение от Аноним (6), 23-Янв-26, 22:20

Отлично! будет чем обходить корпоративные запреты на рабочем ноутбуке.

Ответить | Правка | Наверх | Cообщить модератору

14. "Проект Singularity развивает открытый руткит, обходящий SELi..." +3 +/–

Сообщение от 12yoexpert (ok), 23-Янв-26, 22:46

и много у рута запретов?

Ответить | Правка | Наверх | Cообщить модератору

21. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от 1 (??), 23-Янв-26, 22:57

пишут что можно настроить такие политики SELinux, что и у рута появиться ограничения

Ответить | Правка | Наверх | Cообщить модератору

25. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от нах. (?), 23-Янв-26, 23:13

настроить-то можно, только работать после этого будет разьве что xterm, да и тот не весь.

Ответить | Правка | Наверх | Cообщить модератору

37. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от 1 (??), 24-Янв-26, 01:57

Вообще-то  RBAC и всё гуд.

Ответить | Правка | Наверх | Cообщить модератору

92. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (91), 24-Янв-26, 13:10

Значит надо пользоваться Apparmor, там и у рута изначально ограничения, даже рут не может того что ему апармор не разрешит

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

22. "Проект Singularity развивает открытый руткит, обходящий SELi..." –1 +/–

Сообщение от Аноним (22), 23-Янв-26, 23:02

Достаточно, поверх рута проверка целостности и краудстрайк которые пока зеленым не загорятся во внутреннюю сеть не пустят.
Да и рут в линуксе не сложно добыть даже если его нет, повышение привелегий уязвимость регулярная.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

7. "Проект Singularity развивает открытый руткит, обходящий SELi..." –2 +/–

Сообщение от Аноним (7), 23-Янв-26, 22:23

Против недобросовестных заказчиков самое то.

Ответить | Правка | Наверх | Cообщить модератору

8. "Проект Singularity развивает открытый руткит, обходящий SELi..." +3 +/–

Сообщение от Аноним (8), 23-Янв-26, 22:34

Звучит пугающе!

Ответить | Правка | Наверх | Cообщить модератору

9. "Проект Singularity развивает открытый руткит, обходящий SELi..." +7 +/–

Сообщение от Кошкажена (?), 23-Янв-26, 22:34

> распространяемый под лицензией MIT.
А вот было бы под GPL можно было бы требовать открытие исходников у всяких контор. Думайте!

Ответить | Правка | Наверх | Cообщить модератору

103. Скрыто модератором +/–

Сообщение от Джон Титор (ok), 24-Янв-26, 15:58

И как вы это себе представляете? Попросите конторы пишущие антивирусы или какой-нибудь пентагон открыть исходный код своих продуктов?

Ответить | Правка | Наверх | Cообщить модератору

10. "Проект Singularity развивает открытый руткит, обходящий SELi..." +2 +/–

Сообщение от Аноним (10), 23-Янв-26, 22:36

Да тут прям флеш-рояль!

Ответить | Правка | Наверх | Cообщить модератору

13. "Проект Singularity развивает открытый руткит, обходящий SELi..." +3 +/–

Сообщение от morphe (?), 23-Янв-26, 22:46

Работает через insmod, в то время при любом hardening обычно динамическую загрузку модулей выключают, не говоря уж про то что для самого insmod требуются большие права

Ответить | Правка | Наверх | Cообщить модератору

18. "Проект Singularity развивает открытый руткит, обходящий SELi..." –4 +/–

Сообщение от 12yoexpert (ok), 23-Янв-26, 22:48

да и дома модули обычно не нужны, если у тебя стационар

Ответить | Правка | Наверх | Cообщить модератору

96. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (89), 24-Янв-26, 13:28

А ну да, на каждый чих ядро пересобирать, чтоб только модуль добавить.

Ответить | Правка | Наверх | Cообщить модератору

101. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от 12yoexpert (ok), 24-Янв-26, 15:42

читать научись, написано - стационар. туда новые железки попадают раз в год. потратить на включение драйвера, сборку и ребут минуту в сумме раз в год - это прекрасно, потому что всё остальное время у тебя быстрое ядро

Ответить | Правка | Наверх | Cообщить модератору

19. "Проект Singularity развивает открытый руткит, обходящий SELi..." +1 +/–

Сообщение от Аноним (19), 23-Янв-26, 22:48

В любой curl | sudo добавь это и всё.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

27. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (27), 23-Янв-26, 23:22

Прикол тут в том что какой попало модуль все равно не загрузишь даже если они разрешены
> Prerequisites
>   Kernel headers for your running kernel
кроме рута надо еще ключи от дома - надо собрать этот модуль с тем ядром что сейчас запущено

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

28. "Проект Singularity развивает открытый руткит, обходящий SELi..." +3 +/–

Сообщение от 12yoexpert (ok), 23-Янв-26, 23:30

так а что мешает заголовки установить/скачать?

Ответить | Правка | Наверх | Cообщить модератору

35. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (35), 24-Янв-26, 01:22

Вообще если немного попарсить eBPF, их можно генерить на ходу, есть даже открытый проект на эту тему. Для старых ядер свои методы, качать ничего не придется. Впрочем и serverside компиляция тоже работает, см VoidLink

Ответить | Правка | Наверх | Cообщить модератору

88. "Проект Singularity развивает открытый руткит, обходящий SELi..." –1 +/–

Сообщение от Аноним (27), 24-Янв-26, 12:52

А там бац starnix вместо ядра ха-ха-ха

Ответить | Правка | Наверх | Cообщить модератору

16. "Проект Singularity развивает открытый руткит, обходящий SELi..." –5 +/–

Сообщение от Аноним (16), 23-Янв-26, 22:47

Упоминается kprobe значит ли это что kde точно можно будет всяко ломать ?

Ответить | Правка | Наверх | Cообщить модератору

52. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (52), 24-Янв-26, 09:14

можно,  ̶н̶о̶ ̶з̶а̶ч̶е̶м̶, но при условии, если кде собран модулем ядра, а не как обычно, расширением для эмулятора терминала

Ответить | Правка | Наверх | Cообщить модератору

20. "Проект Singularity развивает открытый руткит, обходящий SELi..." –1 +/–

Сообщение от Аноним (10), 23-Янв-26, 22:49

Нынче повысить их не так уж и сложно, учитывая новости про рутовые рцэ

Ответить | Правка | Наверх | Cообщить модератору

24. "Проект Singularity развивает открытый руткит, обходящий SELi..." –2 +/–

Сообщение от Аноним (23), 23-Янв-26, 23:11

>и использует механизм ftrace для незаметного перехвата системных вызовов без изменения точек входа в системные вызовы и без модификации функций ядра
Надо будет почитать. А то в stable api is nonsence все старые мануалы давно устарели.

Ответить | Правка | Наверх | Cообщить модератору

30. "Проект Singularity развивает открытый руткит, обходящий SELi..." +1 +/–

Сообщение от мяв (?), 23-Янв-26, 23:56

ну лол. обход лкрг в виде модуля ядра - не интересно.
ибо он в тч умеет запрещать их загрузку. я уж молчу, что сначала кто-то должен этот руткит подписать

Ответить | Правка | Наверх | Cообщить модератору

34. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (35), 24-Янв-26, 00:52

AFAIK в паблике обход LKRG был только от одного человека, да и подписание модулей не типично для облака, разве что у MS. Другое дело, что обход LKRG это просто задачка, экономической эффективности 0.
Кстати, вот еще одна: как загрузить ядерный код на старом ядре с актуальными патчами, при запрете на загрузку модулей. Вы возможно удивитесь, но правильных ответов несколько.

Ответить | Правка | Наверх | Cообщить модератору

32. "Проект Singularity развивает открытый руткит, обходящий SELi..." +1 +/–

Сообщение от Аноним (35), 24-Янв-26, 00:43

Работает это довольно медленно, но как концепт того, что можно выжать из ftrace - cool. Кое-что пока фильрует в лоб, из-за чего руинит форматы вывода.
Собственные хуки защищает только от usermode, перестал блокировать модули и eBPF - в таком виде не опасен.
Сейчас еще не поленился изучить хуки LKRG и EDR, это точно кому-то пригодится... + годный дискорд

Ответить | Правка | Наверх | Cообщить модератору

33. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (33), 24-Янв-26, 00:51

так это не уязвимость, а фича всех хtrace

Ответить | Правка | Наверх | Cообщить модератору

38. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от DIM (??), 24-Янв-26, 02:26

А можно ли эту штуку использовать для получения рута на смартфоне?

Ответить | Правка | Наверх | Cообщить модератору

43. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (43), 24-Янв-26, 05:12

Она не для получения рута, тебе в эксплойты.

Ответить | Правка | Наверх | Cообщить модератору

63. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от DIM (??), 24-Янв-26, 10:32

Да я бы и рад, но кажется их не осталось. Последний раз рутовал через лет 10 назад черех Xposed... но кажется это программа давно заглохла и не развивается.

Ответить | Правка | Наверх | Cообщить модератору

47. "Проект Singularity развивает открытый руткит, обходящий SELi..." +1 +/–

Сообщение от mos87 (ok), 24-Янв-26, 08:03

Скачать, сконпелять и запустить от рута! Ой, ещё надо модуль подгрузить)

Ответить | Правка | Наверх | Cообщить модератору

66. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (66), 24-Янв-26, 10:40

Все сделают за вас и запихнут в ближайший флатпак. Они позаботятся о вас в один клик.

Ответить | Правка | Наверх | Cообщить модератору

62. "Проект Singularity развивает открытый руткит, обходящий SELi..." –1 +/–

Сообщение от жявамэн (ok), 24-Янв-26, 10:27

визгуны про скачать сконпелять
а как вы хотели? на то это и руткит.
рут получается сторонним способом но имея его как раз таки и устанавливается руткит с сокрытием чтобы в дальнейшем иметь контроль над системой
в каком месте ваши визгливые глазенки увидали что это ремоут екзекьюшен?

Ответить | Правка | Наверх | Cообщить модератору

65. Скрыто модератором +/–

Сообщение от Аноним (66), 24-Янв-26, 10:37

Заскучали без архивчиков с вирусней для проверки вашего антивируса?

Ответить | Правка | Наверх | Cообщить модератору

67. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (67), 24-Янв-26, 10:44

А если я пересоберу ядро, закину в /boot и перезагружусь то он это переживет?

Ответить | Правка | Наверх | Cообщить модератору

95. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (89), 24-Янв-26, 13:25

Если другое ядро другой версии, то модуль тоже нужно пересобрать под это ядро.

Ответить | Правка | Наверх | Cообщить модератору

71. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Ilya Indigo (ok), 24-Янв-26, 11:02

Ждём открытого проекта по обнаружению Singularity и ему подобных в системе.

Ответить | Правка | Наверх | Cообщить модератору

86. "Проект Singularity развивает открытый руткит, обходящий SELi..." –1 +/–

Сообщение от жявамэн (ok), 24-Янв-26, 12:07

уже в процессе
полный выпил софта на дырявой дедовской сишечке с переходом на нормальные языки

Ответить | Правка | Наверх | Cообщить модератору

87. Скрыто модератором +/–

Сообщение от Аноним (87), 24-Янв-26, 12:25

>полный выпил софта на дырявой дедовской сишечке
На ассемблер откатитесь, или сразу на машинные коды? Это прогресс!

Ответить | Правка | Наверх | Cообщить модератору

93. Скрыто модератором +/–

Сообщение от Аноним (89), 24-Янв-26, 13:11

Эти ваши "нормальные езыки" и обращения к ftrace чекают боровом?

Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

100. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от 12yoexpert (ok), 24-Янв-26, 15:38

ну да, а то не дай бог держать у себя на хосте "небезопасный" руткит. лучше пусть занимает пол гига и забивает весь проц, но зато "безопасно"
и как в вашу секту вообще народ попадает, это ж вообще логика должна отсутствовать

Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

94. Скрыто модератором +/–

Сообщение от Аноним (94), 24-Янв-26, 13:16

Хорошая попытка провести перепись всех, кто не только пишет такое, но и скачивает

Ответить | Правка | Наверх | Cообщить модератору

97. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Аноним (89), 24-Янв-26, 13:30

Список незакрытых уязвимостей в Astra где-либо есть? ;)

Ответить | Правка | Наверх | Cообщить модератору

99. "Проект Singularity развивает открытый руткит, обходящий SELi..." +/–

Сообщение от Олег Бартунов (?), 24-Янв-26, 14:36

У вас опечатка в ссылке "такими как Falco, ghostscan, tracee, unhide"
> unhide
> YJesus/Unhidem
Надо
> YJesus/Unhide

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

26. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
Сообщение от Аноним (26), 23-Янв-26, 23:14
Надеюсь увидеть комментарий Solar Designer
Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от Аноним (41), 24-Янв-26, 02:32
	Повторит позицию, что lkrg обходится by design, а кому надо побольше безопасности - на коммерческие форки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+3 +/–
	Сообщение от solardiz (ok), 24-Янв-26, 06:41
	Полезный проект, в том числе нам как разработчикам LKRG. Что касается обхода: 1. LKRG отслеживает целостность ядра и себя самого, что зачастую распознает руткиты - например, 8 из 9 в одном исследовании. Но при этом мы намеренно позволяем работать модулям ядра, загруженным корректно выглядящим root'ом (а не только что взломанным через уязвимость в ядре) и работающим через официальные API. У нас даже есть дополнительный код, намеренно разрешающий перехват функций в ядре с помощью ftrace (который использует Singularity). Стараемся не ломать полезную функциональность. Таким образом, написать не распознаваемый нами руткит можно просто сделав его максимально корректным, без хаков. Думаю, именно поэтому в том старом исследовании один не распознался - он там был просто keylogger, а не полноценный руткит, что более вероятно реализовали без хаков. 2. Тем не менее, Singularity исходно распознавался LKRG. Отсюда и появление в нем дополнительного кода для обхода, добавленного более свежим коммитом уже после первоначального анонса проекта. В каком-то смысле это успех LKRG, что руткит, написанный без оглядки на него, всё-таки распознавался. 3. Насколько мы можем судить по коду обхода, он не сработает если включить sysctl lkrg.hide=1. Кстати, эта же настройка нарушала и обход из эксплойта от Александра Попова. Мы еще раз задумались не сделать ли эту опцию или часть ее эффекта включенной по умолчанию. 4. Вспомнили также о том что надо бы добавить notrace на больше функций в LKRG или включить это глобально через опции сборки. Это нарушит работу ftrace для перехвата функций LKRG руткитом, что Singularity делает. Кстати, вижу что Singularity сам использует notrace на свои функции - не удивлюсь если это сделано по нашему примеру, мы просто не распространили наше использование достаточно широко. https://github.com/lkrg-org/lkrg/issues/21 5. Задумались также так ли мы хотим поддерживать использование ftrace, тем более не отключаемо. Наверное, нам достаточно выкинуть или отключить часть нашего кода, и этот руткит сломается (как и другое использование ftrace). 6. Возвращаясь к тому что LKRG сейчас не предназначен для защиты от действий корректного root'а, перечисленное выше по сути имело бы мало смысла против Singularity. Мы легко можем сломать его работу одновременно с LKRG, но сейчас ничто не мешает корректному root'у просто выгрузить LKRG с помощью rmmod или фактически выключить его через sysctl до загрузки руткита. Поэтому всё это приобретет практический смысл в контексте таких руткитов только если и когда мы добавим защиту от выгрузки и изменения конфигурации LKRG. Да и то дальше будет вопрос защиты всей цепи загрузки системы, включая userland, иначе руткит можно будет загрузить через изменение файлов, используемых при следующей перезагрузке. То есть secure boot, подписи всего до загрузки LKRG, включая его самого (реализовано в RLC-H от CIQ), lockdown ядра. 7. Обходы LKRG из эксплойтов уязвимостей ядра для нас и пользователей LKRG актуальнее, чем обходы из руткитов, так как в том случае у атакующего на начальном этапе (с точки зрения LKRG) еще нет корректно выглядящего рута. Там нам есть что распознавать и от чего защищаться при нашей нынешней модели угроз. А в случае руткитов пока нет (см. пункты 1 и 6 выше).
	Ответить \| Правка \| К родителю #26 \| Наверх \| Cообщить модератору


	70. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от Аноним (70), 24-Янв-26, 11:01
	Александр, у меня в Дебиан Сид с декабрьскими коммитами LKRG (самый последний коммит на момент, 58d73c94845a5e10c5114e94cdad6db3c4f45d66) приводит к остановке загрузки и поносу ошибками ядра на чёрном экране не переставая. Аппаратура - "кора дуба". Откатился на релиз. А с тех пор в репозиторий ничего нового не приземлилось. Хотя я не исключаю, что мне подкинули буткит в прошивки, даже считаю это весьма вероятным. >Мы еще раз задумались не сделать ли эту опцию или часть ее эффекта включенной по умолчанию. Весьма показательно ввиду коммита > Drop broken support for having LKRG hide itself by default
	Ответить \| Правка \| Наверх \| Cообщить модератору


	74. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от solardiz (ok), 24-Янв-26, 11:13
	Странно, но создайте пожалуйста GitHub issue об этой "остановке загрузки и поносу ошибками". Спасибо! Вот ровно с этим коммитом 58d73c94 у нас LKRG загружен на тестовой системе Debian 13.1 trixie, ядро "6.12.48+deb13-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.48-1 (2025-09-20)", uptime сейчас 77 дней, без проблем.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от Аноним (70), 24-Янв-26, 11:20
	>2025-09-20 В сиде ядро обновляется гораздо чаще.
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+39 +/–
Сообщение от kusb (?), 23-Янв-26, 22:11
Для Linux даже бекдоры опенсорсные?
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+8 +/–
	Сообщение от Аноним (4), 23-Янв-26, 22:14
	Ну а ты думал! ТруЪ
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+4 +/–
	Сообщение от Аноним (23), 23-Янв-26, 23:09
	Бекдор != руткит
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	55. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+1 +/–
	Сообщение от Аноним (55), 24-Янв-26, 09:35
	Бекдор != Уязвимость.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	89. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от Аноним (89), 24-Янв-26, 13:04
	Бекдор - это бекдор, то, что сделано намеренно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	91. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+1 +/–
	Сообщение от Аноним (91), 24-Янв-26, 13:07
	А Винде итак сплошные бэкдоры (правда в основном для Майкрософт) уже из коробки идут, да и потом ещё со многими прогами в систему бэкдоры подкидываются, да и любой антивирь тот же бэкдор тоже
	Ответить \| Правка \| К родителю #55 \| Наверх \| Cообщить модератору


	36. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от 1 (??), 24-Янв-26, 01:55
	Скажу больше. Даже лицензируются.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	57. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от Аноним (55), 24-Янв-26, 09:42
	Любой код должен иметь свою лицензию и автора. Допустимо, что автор может пожелать остаться анонимом, но без лицензии никак. Среди программистов есть консенсус по-поводу того, что код без лицензии приравнивается к ворованному или проприетарному коду. Такой код юзать нельзя ибо влечёт за собой риски. Код без лицензии это ловушка для дураков.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+1 +/–
	Сообщение от мелстрой (?), 24-Янв-26, 10:13
	Среди корпоративных галерников обычно так, мне в принципе всё равно чей код использовать. Боишься что с гита снесут? Сделай зеркало в других гитах
	Ответить \| Правка \| Наверх \| Cообщить модератору


	90. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от Аноним (89), 24-Янв-26, 13:07
	Подставляешь других, кто потенциально может позаимствовать твой код в свой проект, ничего не зная о его происхожлении.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	102. Скрыто модератором	+/–
	Сообщение от Джон Титор (ok), 24-Янв-26, 15:54
	Для других ОС тоже есть опенсорсные. Вы просто вводите людей в заблуждение своим вопросом. Дело ж не в операционной системе. И самое интересное что все это знают, но пафоса подбросить нужно.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+1 +/–
Сообщение от Tron is Whistling (?), 23-Янв-26, 22:12
Годно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+3 +/–
	Сообщение от Аноним (4), 23-Янв-26, 22:14
	Тоже понравилось. Так это открытый, а сколько закрытых существует... ммм :)
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+2 +/–
Сообщение от Аноним (6), 23-Янв-26, 22:20
Отлично! будет чем обходить корпоративные запреты на рабочем ноутбуке.
Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+3 +/–
	Сообщение от 12yoexpert (ok), 23-Янв-26, 22:46
	и много у рута запретов?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от 1 (??), 23-Янв-26, 22:57
	пишут что можно настроить такие политики SELinux, что и у рута появиться ограничения
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от нах. (?), 23-Янв-26, 23:13
	настроить-то можно, только работать после этого будет разьве что xterm, да и тот не весь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от 1 (??), 24-Янв-26, 01:57
	Вообще-то RBAC и всё гуд.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	92. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+/–
	Сообщение от Аноним (91), 24-Янв-26, 13:10
	Значит надо пользоваться Apparmor, там и у рута изначально ограничения, даже рут не может того что ему апармор не разрешит
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	22. "Проект Singularity развивает открытый руткит, обходящий SELi..."	–1 +/–
	Сообщение от Аноним (22), 23-Янв-26, 23:02
	Достаточно, поверх рута проверка целостности и краудстрайк которые пока зеленым не загорятся во внутреннюю сеть не пустят. Да и рут в линуксе не сложно добыть даже если его нет, повышение привелегий уязвимость регулярная.
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору

7. "Проект Singularity развивает открытый руткит, обходящий SELi..."	–2 +/–
Сообщение от Аноним (7), 23-Янв-26, 22:23
Против недобросовестных заказчиков самое то.
Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+3 +/–
Сообщение от Аноним (8), 23-Янв-26, 22:34
Звучит пугающе!
Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Проект Singularity развивает открытый руткит, обходящий SELi..."	+7 +/–
Сообщение от Кошкажена (?), 23-Янв-26, 22:34
> распространяемый под лицензией MIT. А вот было бы под GPL можно было бы требовать открытие исходников у всяких контор. Думайте!
Ответить \| Правка \| Наверх \| Cообщить модератору


	103. Скрыто модератором	+/–
	Сообщение от Джон Титор (ok), 24-Янв-26, 15:58
	И как вы это себе представляете? Попросите конторы пишущие антивирусы или какой-нибудь пентагон открыть исходный код своих продуктов?
	Ответить \| Правка \| Наверх \| Cообщить модератору