The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF"  +/
Сообщение от opennews (??), 23-Янв-26, 22:03 
Матеус Алвес (Matheus Alves), исследователь безопасности, специализирующийся на вредоносном ПО,  опубликовал обновление проекта Singularity, развивающего открытый руткит для ядра Linux, распространяемый под лицензией MIT. Целью проекта является демонстрация методов, позволяющих скрыть своё присутствие после получения root-доступа  и сохранить возможность скрытого выполнения привилегированных операций. Предполагается, что  Singularity может быть полезен исследователям безопасности для тестирования и разработки утилит обнаружения и блокирования руткитов...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64663

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +27 +/
Сообщение от kusb (?), 23-Янв-26, 22:11 
Для Linux даже бекдоры опенсорсные?
Ответить | Правка | Наверх | Cообщить модератору

4. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +7 +/
Сообщение от Аноним (4), 23-Янв-26, 22:14 
Ну а ты думал! ТруЪ
Ответить | Правка | Наверх | Cообщить модератору

23. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +2 +/
Сообщение от Аноним (23), 23-Янв-26, 23:09 
Бекдор != руткит
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

55. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (55), 24-Янв-26, 09:35 
Бекдор != Уязвимость.
Ответить | Правка | Наверх | Cообщить модератору

36. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от 1 (??), 24-Янв-26, 01:55 
Скажу больше. Даже лицензируются.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

57. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (55), 24-Янв-26, 09:42 
Любой код должен иметь свою лицензию и автора. Допустимо, что автор может пожелать остаться анонимом, но без лицензии никак. Среди программистов есть консенсус по-поводу того, что код без лицензии приравнивается к ворованному или проприетарному коду. Такой код юзать нельзя ибо влечёт за собой риски. Код без лицензии это ловушка для дураков.
Ответить | Правка | Наверх | Cообщить модератору

59. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от мелстрой (?), 24-Янв-26, 10:13 
Среди корпоративных галерников обычно так, мне в принципе всё равно чей код использовать. Боишься что с гита снесут? Сделай зеркало в других гитах
Ответить | Правка | Наверх | Cообщить модератору

3. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +1 +/
Сообщение от Tron is Whistling (?), 23-Янв-26, 22:12 
Годно.
Ответить | Правка | Наверх | Cообщить модератору

5. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +2 +/
Сообщение от Аноним (4), 23-Янв-26, 22:14 
Тоже понравилось. Так это открытый, а сколько закрытых существует... ммм :)
Ответить | Правка | Наверх | Cообщить модератору

6. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +2 +/
Сообщение от Аноним (6), 23-Янв-26, 22:20 
Отлично! будет чем обходить корпоративные запреты на рабочем ноутбуке.
Ответить | Правка | Наверх | Cообщить модератору

14. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +1 +/
Сообщение от 12yoexpert (ok), 23-Янв-26, 22:46 
и много у рута запретов?
Ответить | Правка | Наверх | Cообщить модератору

21. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от 1 (??), 23-Янв-26, 22:57 
пишут что можно настроить такие политики SELinux, что и у рута появиться ограничения
Ответить | Правка | Наверх | Cообщить модератору

25. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от нах. (?), 23-Янв-26, 23:13 
настроить-то можно, только работать после этого будет разьве что xterm, да и тот не весь.

Ответить | Правка | Наверх | Cообщить модератору

37. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от 1 (??), 24-Янв-26, 01:57 
Вообще-то  RBAC и всё гуд.
Ответить | Правка | Наверх | Cообщить модератору

22. "Проект Singularity развивает открытый руткит, обходящий SELi..."  –1 +/
Сообщение от Аноним (22), 23-Янв-26, 23:02 
Достаточно, поверх рута проверка целостности и краудстрайк которые пока зеленым не загорятся во внутреннюю сеть не пустят.
Да и рут в линуксе не сложно добыть даже если его нет, повышение привелегий уязвимость регулярная.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

46. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от User (??), 24-Янв-26, 07:30 
В корпорации "Vasyan&mom" у каждого рутовые полномочия - разве что у исполнительного директора лапки...
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

7. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (7), 23-Янв-26, 22:23 
Против недобросовестных заказчиков самое то.
Ответить | Правка | Наверх | Cообщить модератору

8. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +1 +/
Сообщение от Аноним (8), 23-Янв-26, 22:34 
Звучит пугающе!
Ответить | Правка | Наверх | Cообщить модератору

9. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +3 +/
Сообщение от Кошкажена (?), 23-Янв-26, 22:34 
> распространяемый под лицензией MIT.

А вот было бы под GPL можно было бы требовать открытие исходников у всяких контор. Думайте!

Ответить | Правка | Наверх | Cообщить модератору

39. "Проект Singularity развивает открытый руткит, обходящий SELi..."  –3 +/
Сообщение от Аноним (39), 24-Янв-26, 02:28 
У бандитов, в открытую по беспределу требующих Гренландию, и организующих сходку для диктаторов с целью уплаты главпахану дани (а если дань не уплатишь - как с Мадуро будет), он собрался исходник требовать.
Ответить | Правка | Наверх | Cообщить модератору

48. Скрыто модератором  –4 +/
Сообщение от Иван Демидов (?), 24-Янв-26, 08:20 
Ответить | Правка | Наверх | Cообщить модератору

68. Скрыто модератором  +/
Сообщение от Аноним (68), 24-Янв-26, 10:47 
Ответить | Правка | Наверх | Cообщить модератору

51. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +2 +/
Сообщение от Аноним (51), 24-Янв-26, 09:05 
Завидно что кто-то умеет добиваться своих целей без мнотысячных жертв и без "жестов доброй воли"? Понимаю.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

53. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (53), 24-Янв-26, 09:21 
Умение в основном сводится только к безконтрольному печатнью зелёных бумажек.
Ответить | Правка | Наверх | Cообщить модератору

58. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (51), 24-Янв-26, 09:45 
Кто вам мешает так же бесконтрольно печатать свои разноцветные фантики?
Ответить | Правка | Наверх | Cообщить модератору

60. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (60), 24-Янв-26, 10:16 
Эльвирочка
Ответить | Правка | Наверх | Cообщить модератору

61. Скрыто модератором  +/
Сообщение от Аноним (60), 24-Янв-26, 10:17 
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

69. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (68), 24-Янв-26, 10:51 
Цели-то низменные оказались. Наркодиктатора-то снесли не за то, что нарко-, а за то что вассалом быть отказался и дань платить.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

64. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от мелстрой (?), 24-Янв-26, 10:37 
Так что, вполне внятные люди, по понятиям живут, ровно всё
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

10. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (10), 23-Янв-26, 22:36 
Да тут прям флеш-рояль!
Ответить | Правка | Наверх | Cообщить модератору

13. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +3 +/
Сообщение от morphe (?), 23-Янв-26, 22:46 
Работает через insmod, в то время при любом hardening обычно динамическую загрузку модулей выключают, не говоря уж про то что для самого insmod требуются большие права
Ответить | Правка | Наверх | Cообщить модератору

18. "Проект Singularity развивает открытый руткит, обходящий SELi..."  –5 +/
Сообщение от 12yoexpert (ok), 23-Янв-26, 22:48 
да и дома модули обычно не нужны, если у тебя стационар
Ответить | Правка | Наверх | Cообщить модератору

19. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (19), 23-Янв-26, 22:48 
В любой curl | sudo добавь это и всё.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

27. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (27), 23-Янв-26, 23:22 
Прикол тут в том что какой попало модуль все равно не загрузишь даже если они разрешены

> Prerequisites
>   Kernel headers for your running kernel

кроме рута надо еще ключи от дома - надо собрать этот модуль с тем ядром что сейчас запущено

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

28. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +2 +/
Сообщение от 12yoexpert (ok), 23-Янв-26, 23:30 
так а что мешает заголовки установить/скачать?
Ответить | Правка | Наверх | Cообщить модератору

35. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +1 +/
Сообщение от Аноним (35), 24-Янв-26, 01:22 
Вообще если немного попарсить eBPF, их можно генерить на ходу, есть даже открытый проект на эту тему. Для старых ядер свои методы, качать ничего не придется. Впрочем и serverside компиляция тоже работает, см VoidLink
Ответить | Правка | Наверх | Cообщить модератору

16. "Проект Singularity развивает открытый руткит, обходящий SELi..."  –4 +/
Сообщение от Аноним (16), 23-Янв-26, 22:47 
Упоминается kprobe значит ли это что kde точно можно будет всяко ломать ?
Ответить | Правка | Наверх | Cообщить модератору

52. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (52), 24-Янв-26, 09:14 
можно,  ̶н̶о̶ ̶з̶а̶ч̶е̶м̶, но при условии, если кде собран модулем ядра, а не как обычно, расширением для эмулятора терминала
Ответить | Правка | Наверх | Cообщить модератору

20. "Проект Singularity развивает открытый руткит, обходящий SELi..."  –1 +/
Сообщение от Аноним (10), 23-Янв-26, 22:49 
Нынче повысить их не так уж и сложно, учитывая новости про рутовые рцэ
Ответить | Правка | Наверх | Cообщить модератору

24. "Проект Singularity развивает открытый руткит, обходящий SELi..."  –2 +/
Сообщение от Аноним (23), 23-Янв-26, 23:11 
>и использует механизм ftrace для незаметного перехвата системных вызовов без изменения точек входа в системные вызовы и без модификации функций ядра

Надо будет почитать. А то в stable api is nonsence все старые мануалы давно устарели.

Ответить | Правка | Наверх | Cообщить модератору

26. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (26), 23-Янв-26, 23:14 
Надеюсь увидеть комментарий Solar Designer
Ответить | Правка | Наверх | Cообщить модератору

29. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Solar Designer (?), 23-Янв-26, 23:40 
И что это значит?
Ответить | Правка | Наверх | Cообщить модератору

40. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (39), 24-Янв-26, 02:30 
>Тип:    Аноним

Настоящий Solar Designer под логином solardiz ходит.

Ответить | Правка | Наверх | Cообщить модератору

42. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от solard1110z (?), 24-Янв-26, 04:54 
Спасибо, исправлюсь.
Ответить | Правка | Наверх | Cообщить модератору

41. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (39), 24-Янв-26, 02:32 
Повторит позицию, что lkrg обходится by design, а кому надо побольше безопасности - на коммерческие форки.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

45. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +2 +/
Сообщение от solardiz (ok), 24-Янв-26, 06:41 
Полезный проект, в том числе нам как разработчикам LKRG. Что касается обхода:
1. LKRG отслеживает целостность ядра и себя самого, что зачастую распознает руткиты - например, 8 из 9 в одном исследовании. Но при этом мы намеренно позволяем работать модулям ядра, загруженным корректно выглядящим root'ом (а не только что взломанным через уязвимость в ядре) и работающим через официальные API. У нас даже есть дополнительный код, намеренно разрешающий перехват функций в ядре с помощью ftrace (который использует Singularity). Стараемся не ломать полезную функциональность. Таким образом, написать не распознаваемый нами руткит можно просто сделав его максимально корректным, без хаков. Думаю, именно поэтому в том старом исследовании один не распознался - он там был просто keylogger, а не полноценный руткит, что более вероятно реализовали без хаков.
2. Тем не менее, Singularity исходно распознавался LKRG. Отсюда и появление в нем дополнительного кода для обхода, добавленного более свежим коммитом уже после первоначального анонса проекта. В каком-то смысле это успех LKRG, что руткит, написанный без оглядки на него, всё-таки распознавался.
3. Насколько мы можем судить по коду обхода, он не сработает если включить sysctl lkrg.hide=1. Кстати, эта же настройка нарушала и обход из эксплойта от Александра Попова. Мы еще раз задумались не сделать ли эту опцию или часть ее эффекта включенной по умолчанию.
4. Вспомнили также о том что надо бы добавить notrace на больше функций в LKRG или включить это глобально через опции сборки. Это нарушит работу ftrace для перехвата функций LKRG руткитом, что Singularity делает. Кстати, вижу что Singularity сам использует notrace на свои функции - не удивлюсь если это сделано по нашему примеру, мы просто не распространили наше использование достаточно широко. https://github.com/lkrg-org/lkrg/issues/21
5. Задумались также так ли мы хотим поддерживать использование ftrace, тем более не отключаемо. Наверное, нам достаточно выкинуть или отключить часть нашего кода, и этот руткит сломается (как и другое использование ftrace).
6. Возвращаясь к тому что LKRG сейчас не предназначен для защиты от действий корректного root'а, перечисленное выше по сути имело бы мало смысла против Singularity. Мы легко можем сломать его работу одновременно с LKRG, но сейчас ничто не мешает корректному root'у просто выгрузить LKRG с помощью rmmod или фактически выключить его через sysctl до загрузки руткита. Поэтому всё это приобретет практический смысл в контексте таких руткитов только если и когда мы добавим защиту от выгрузки и изменения конфигурации LKRG. Да и то дальше будет вопрос защиты всей цепи загрузки системы, включая userland, иначе руткит можно будет загрузить через изменение файлов, используемых при следующей перезагрузке. То есть secure boot, подписи всего до загрузки LKRG, включая его самого (реализовано в RLC-H от CIQ), lockdown ядра.
7. Обходы LKRG из эксплойтов уязвимостей ядра для нас и пользователей LKRG актуальнее, чем обходы из руткитов, так как в том случае у атакующего на начальном этапе (с точки зрения LKRG) еще нет корректно выглядящего рута. Там нам есть что распознавать и от чего защищаться при нашей нынешней модели угроз. А в случае руткитов пока нет (см. пункты 1 и 6 выше).
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

30. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +1 +/
Сообщение от мяв (?), 23-Янв-26, 23:56 
ну лол. обход лкрг в виде модуля ядра - не интересно.
ибо он в тч умеет запрещать их загрузку. я уж молчу, что сначала кто-то должен этот руткит подписать
Ответить | Правка | Наверх | Cообщить модератору

34. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (35), 24-Янв-26, 00:52 
AFAIK в паблике обход LKRG был только от одного человека, да и подписание модулей не типично для облака, разве что у MS. Другое дело, что обход LKRG это просто задачка, экономической эффективности 0.
Кстати, вот еще одна: как загрузить ядерный код на старом ядре с актуальными патчами, при запрете на загрузку модулей. Вы возможно удивитесь, но правильных ответов несколько.
Ответить | Правка | Наверх | Cообщить модератору

31. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +3 +/
Сообщение от Мемоним (?), 24-Янв-26, 00:11 
Ни одна домохозяйка установить не сможет. Вывод: Линукс не готов для десктопа.
Ответить | Правка | Наверх | Cообщить модератору

54. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (53), 24-Янв-26, 09:27 
Это просто домохозяйки не готовы для десктопа их и смартфон устраивает.
Ответить | Правка | Наверх | Cообщить модератору

32. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (35), 24-Янв-26, 00:43 
Работает это довольно медленно, но как концепт того, что можно выжать из ftrace - cool. Кое-что пока фильрует в лоб, из-за чего руинит форматы вывода.
Собственные хуки защищает только от usermode, перестал блокировать модули и eBPF - в таком виде не опасен.
Сейчас еще не поленился изучить хуки LKRG и EDR, это точно кому-то пригодится... + годный дискорд
Ответить | Правка | Наверх | Cообщить модератору

33. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (33), 24-Янв-26, 00:51 
так это не уязвимость, а фича всех хtrace
Ответить | Правка | Наверх | Cообщить модератору

38. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от DIM (??), 24-Янв-26, 02:26 
А можно ли эту штуку использовать для получения рута на смартфоне?
Ответить | Правка | Наверх | Cообщить модератору

43. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (43), 24-Янв-26, 05:12 
Она не для получения рута, тебе в эксплойты.
Ответить | Правка | Наверх | Cообщить модератору

63. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от DIM (??), 24-Янв-26, 10:32 
Да я бы и рад, но кажется их не осталось. Последний раз рутовал через лет 10 назад черех Xposed... но кажется это программа давно заглохла и не развивается.
Ответить | Правка | Наверх | Cообщить модератору

44. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +1 +/
Сообщение от Аноним12345 (?), 24-Янв-26, 05:12 
Офигеть
Куда катится мир
Вместо того, чтобы спасать гибнущих от голода детей в африке, люди тратят деньги на безделушки
Ответить | Правка | Наверх | Cообщить модератору

50. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (51), 24-Янв-26, 08:55 
Зачем их спасать, планета итак перенаселена.
Ответить | Правка | Наверх | Cообщить модератору

56. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (56), 24-Янв-26, 09:38 
А что бы что? Пускай это делают наследники империей, которые там этот хаос принесли на континент.
Мы тут не причём. Нам надо свою экономику укреплять.
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

47. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +1 +/
Сообщение от mos87 (ok), 24-Янв-26, 08:03 
Скачать, сконпелять и запустить от рута! Ой, ещё надо модуль подгрузить)
Ответить | Правка | Наверх | Cообщить модератору

66. Скрыто модератором  +/
Сообщение от Аноним (66), 24-Янв-26, 10:40 
Ответить | Правка | Наверх | Cообщить модератору

49. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Комиссар (?), 24-Янв-26, 08:34 
Ну хоть не на расте и богомерзком GTK4
Ответить | Правка | Наверх | Cообщить модератору

62. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от жявамэн (ok), 24-Янв-26, 10:27 
визгуны про скачать сконпелять

а как вы хотели? на то это и руткит.

рут получается сторонним способом но имея его как раз таки и устанавливается руткит с сокрытием чтобы в дальнейшем иметь контроль над системой

в каком месте ваши визгливые глазенки увидали что это ремоут екзекьюшен?

Ответить | Правка | Наверх | Cообщить модератору

65. Скрыто модератором  +/
Сообщение от Аноним (66), 24-Янв-26, 10:37 
Ответить | Правка | Наверх | Cообщить модератору

67. "Проект Singularity развивает открытый руткит, обходящий SELi..."  +/
Сообщение от Аноним (67), 24-Янв-26, 10:44 
А если я пересоберу ядро, закину в /boot и перезагружусь то он это переживет?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру