Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF"	+/–
Сообщение от opennews (??), 23-Янв-26, 22:03
Матеус Алвес (Matheus Alves), исследователь безопасности, специализирующийся на вредоносном ПО,  опубликовал обновление проекта Singularity, развивающего открытый руткит для ядра Linux, распространяемый под лицензией MIT. Целью проекта является демонстрация методов, позволяющих скрыть своё присутствие после получения root-доступа  и сохранить возможность скрытого выполнения привилегированных операций. Предполагается, что  Singularity может быть полезен исследователям безопасности для тестирования и разработки утилит обнаружения и блокирования руткитов... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64663
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от kusb (?), 23-Янв-26, 22:11	+8 +/–
Для Linux даже бекдоры опенсорсные?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #23, #36

3. Сообщение от Tron is Whistling (?), 23-Янв-26, 22:12	+/–
Годно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

4. Сообщение от Аноним (4), 23-Янв-26, 22:14	+3 +/–
Ну а ты думал! ТруЪ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Аноним (4), 23-Янв-26, 22:14	+/–
Тоже понравилось. Так это открытый, а сколько закрытых существует... ммм :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

6. Сообщение от Аноним (6), 23-Янв-26, 22:20	+3 +/–
Отлично! будет чем обходить корпоративные запреты на рабочем ноутбуке.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

7. Сообщение от Аноним (7), 23-Янв-26, 22:23	+/–
Против недобросовестных заказчиков самое то.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 23-Янв-26, 22:34	+1 +/–
Звучит пугающе!
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Кошкажена (?), 23-Янв-26, 22:34	+2 +/–
> распространяемый под лицензией MIT. А вот было бы под GPL можно было бы требовать открытие исходников у всяких контор. Думайте!
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (10), 23-Янв-26, 22:36	+/–
Да тут прям флеш-рояль!
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от morphe (?), 23-Янв-26, 22:46	+1 +/–
Работает через insmod, в то время при любом hardening обычно динамическую загрузку модулей выключают, не говоря уж про то что для самого insmod требуются большие права
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #19, #27

14. Сообщение от 12yoexpert (ok), 23-Янв-26, 22:46	+1 +/–
и много у рута запретов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #21, #22

16. Сообщение от Аноним (16), 23-Янв-26, 22:47	–2 +/–
Упоминается kprobe значит ли это что kde точно можно будет всяко ломать ?
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от 12yoexpert (ok), 23-Янв-26, 22:48	–3 +/–
да и дома модули обычно не нужны, если у тебя стационар
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

19. Сообщение от Аноним (19), 23-Янв-26, 22:48	+/–
В любой curl | sudo добавь это и всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

20. Сообщение от Аноним (10), 23-Янв-26, 22:49	+/–
Нынче повысить их не так уж и сложно, учитывая новости про рутовые рцэ
Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от 1 (??), 23-Янв-26, 22:57	–1 +/–
пишут что можно настроить такие политики SELinux, что и у рута появиться ограничения
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #25

22. Сообщение от Аноним (22), 23-Янв-26, 23:02	–1 +/–
Достаточно, поверх рута проверка целостности и краудстрайк которые пока зеленым не загорятся во внутреннюю сеть не пустят. Да и рут в линуксе не сложно добыть даже если его нет, повышение привелегий уязвимость регулярная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

23. Сообщение от Аноним (23), 23-Янв-26, 23:09	+/–
Бекдор != руткит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

24. Сообщение от Аноним (23), 23-Янв-26, 23:11	–2 +/–
>и использует механизм ftrace для незаметного перехвата системных вызовов без изменения точек входа в системные вызовы и без модификации функций ядра Надо будет почитать. А то в stable api is nonsence все старые мануалы давно устарели.
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от нах. (?), 23-Янв-26, 23:13	+/–
настроить-то можно, только работать после этого будет разьве что xterm, да и тот не весь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #37

26. Сообщение от Аноним (26), 23-Янв-26, 23:14	+/–
Надеюсь увидеть комментарий Solar Designer
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

27. Сообщение от Аноним (27), 23-Янв-26, 23:22	+/–
Прикол тут в том что какой попало модуль все равно не загрузишь даже если они разрешены > Prerequisites >   Kernel headers for your running kernel кроме рута надо еще ключи от дома - надо собрать этот модуль с тем ядром что сейчас запущено
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #28

28. Сообщение от 12yoexpert (ok), 23-Янв-26, 23:30	+1 +/–
так а что мешает заголовки установить/скачать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #35

29. Сообщение от Solar Designer (?), 23-Янв-26, 23:40	+/–
И что это значит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

30. Сообщение от мяв (?), 23-Янв-26, 23:56	+1 +/–
ну лол. обход лкрг в виде модуля ядра - не интересно. ибо он в тч умеет запрещать их загрузку. я уж молчу, что сначала кто-то должен этот руткит подписать
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

31. Сообщение от Мемоним (?), 24-Янв-26, 00:11	+1 +/–
Ни одна домохозяйка установить не сможет. Вывод: Линукс не готов для десктопа.
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Аноним (35), 24-Янв-26, 00:43	+/–
Работает это довольно медленно, но как концепт того, что можно выжать из ftrace - cool. Кое-что пока фильрует в лоб, из-за чего руинит форматы вывода. Собственные хуки защищает только от usermode, перестал блокировать модули и eBPF - в таком виде не опасен. Сейчас еще не поленился изучить хуки LKRG и EDR, это точно кому-то пригодится... + годный дискорд
Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от Аноним (33), 24-Янв-26, 00:51	+/–
так это не уязвимость, а фича всех хtrace
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Аноним (35), 24-Янв-26, 00:52	+/–
AFAIK в паблике обход LKRG был только от одного человека, да и подписание модулей не типично для облака, разве что у MS. Другое дело, что обход LKRG это просто задачка, экономической эффективности 0. Кстати, вот еще одна: как загрузить ядерный код на старом ядре с актуальными патчами, при запрете на загрузку модулей. Вы возможно удивитесь, но правильных ответов несколько.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

35. Сообщение от Аноним (35), 24-Янв-26, 01:22	+/–
Вообще если немного попарсить eBPF, их можно генерить на ходу, есть даже открытый проект на эту тему. Для старых ядер свои методы, качать ничего не придется. Впрочем и serverside компиляция тоже работает, см VoidLink
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

36. Сообщение от 1 (??), 24-Янв-26, 01:55	+/–
Скажу больше. Даже лицензируются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

37. Сообщение от 1 (??), 24-Янв-26, 01:57	+/–
Вообще-то  RBAC и всё гуд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема