| |
| 2.41, Аноним (41), 02:32, 24/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Повторит позицию, что lkrg обходится by design, а кому надо побольше безопасности - на коммерческие форки.
| | |
| 2.45, solardiz (ok), 06:41, 24/01/2026 [^] [^^] [^^^] [ответить]
| +7 +/– |
 Полезный проект, в том числе нам как разработчикам LKRG. Что касается обхода:
1. LKRG отслеживает целостность ядра и себя самого, что зачастую распознает руткиты - например, 8 из 9 в одном исследовании. Но при этом мы намеренно позволяем работать модулям ядра, загруженным корректно выглядящим root'ом (а не только что взломанным через уязвимость в ядре) и работающим через официальные API. У нас даже есть дополнительный код, намеренно разрешающий перехват функций в ядре с помощью ftrace (который использует Singularity). Стараемся не ломать полезную функциональность. Таким образом, написать не распознаваемый нами руткит можно просто сделав его максимально корректным, без хаков. Думаю, именно поэтому в том старом исследовании один не распознался - он там был просто keylogger, а не полноценный руткит, что более вероятно реализовали без хаков.
2. Тем не менее, Singularity исходно распознавался LKRG. Отсюда и появление в нем дополнительного кода для обхода, добавленного более свежим коммитом уже после первоначального анонса проекта. В каком-то смысле это успех LKRG, что руткит, написанный без оглядки на него, всё-таки распознавался.
3. Насколько мы можем судить по коду обхода, он не сработает если включить sysctl lkrg.hide=1. Кстати, эта же настройка нарушала и обход из эксплойта от Александра Попова. Мы еще раз задумались не сделать ли эту опцию или часть ее эффекта включенной по умолчанию.
4. Вспомнили также о том что надо бы добавить notrace на больше функций в LKRG или включить это глобально через опции сборки. Это нарушит работу ftrace для перехвата функций LKRG руткитом, что Singularity делает. Кстати, вижу что Singularity сам использует notrace на свои функции - не удивлюсь если это сделано по нашему примеру, мы просто не распространили наше использование достаточно широко. https://github.com/lkrg-org/lkrg/issues/21
5. Задумались также так ли мы хотим поддерживать использование ftrace, тем более не отключаемо. Наверное, нам достаточно выкинуть или отключить часть нашего кода, и этот руткит сломается (как и другое использование ftrace).
6. Возвращаясь к тому что LKRG сейчас не предназначен для защиты от действий корректного root'а, перечисленное выше по сути имело бы мало смысла против Singularity. Мы легко можем сломать его работу одновременно с LKRG, но сейчас ничто не мешает корректному root'у просто выгрузить LKRG с помощью rmmod или фактически выключить его через sysctl до загрузки руткита. Поэтому всё это приобретет практический смысл в контексте таких руткитов только если и когда мы добавим защиту от выгрузки и изменения конфигурации LKRG. Да и то дальше будет вопрос защиты всей цепи загрузки системы, включая userland, иначе руткит можно будет загрузить через изменение файлов, используемых при следующей перезагрузке. То есть secure boot, подписи всего до загрузки LKRG, включая его самого (реализовано в RLC-H от CIQ), lockdown ядра.
7. Обходы LKRG из эксплойтов уязвимостей ядра для нас и пользователей LKRG актуальнее, чем обходы из руткитов, так как в том случае у атакующего на начальном этапе (с точки зрения LKRG) еще нет корректно выглядящего рута. Там нам есть что распознавать и от чего защищаться при нашей нынешней модели угроз. А в случае руткитов пока нет (см. пункты 1 и 6 выше).
| | |
| |
| 3.70, Аноним (70), 11:01, 24/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Александр, у меня в Дебиан Сид с декабрьскими коммитами LKRG (самый последний коммит на момент, 58d73c94845a5e10c5114e94cdad6db3c4f45d66) приводит к остановке загрузки и поносу ошибками ядра на чёрном экране не переставая. Аппаратура - "кора дуба". Откатился на релиз. А с тех пор в репозиторий ничего нового не приземлилось. Хотя я не исключаю, что мне подкинули буткит в прошивки, даже считаю это весьма вероятным.
>Мы еще раз задумались не сделать ли эту опцию или часть ее эффекта включенной по умолчанию.
Весьма показательно ввиду коммита
> Drop broken support for having LKRG hide itself by default | | |
| |
| 4.74, solardiz (ok), 11:13, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Странно, но создайте пожалуйста GitHub issue об этой "остановке загрузки и поносу ошибками". Спасибо!
Вот ровно с этим коммитом 58d73c94 у нас LKRG загружен на тестовой системе Debian 13.1 trixie, ядро "6.12.48+deb13-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.48-1 (2025-09-20)", uptime сейчас 77 дней, без проблем.
| | |
| |
| |
| 6.118, solardiz (ok), 20:56, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Да, я догадываюсь что и в Trixie это ядро уже не самое свежее. Но это ближайшее совпадение с вашим из того на чем указанный коммит нами уже был протестирован.
| | |
|
|
| 4.112, Аноним (112), 18:00, 24/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Хотя я не исключаю, что мне подкинули буткит в прошивки, даже считаю это весьма вероятным.
Сдампить прошивки и посмотреть пробывали?
| | |
| |
| 5.128, Аноним (128), 12:52, 25/01/2026 [^] [^^] [^^^] [ответить] | +/– | Ну, допустим чисто теоретически, у меня нет такого оборудования , что я, рискуя... большой текст свёрнут, показать | | |
|
|
| 3.105, Аноним (105), 16:36, 24/01/2026 [^] [^^] [^^^] [ответить]
| +2 +/– |
Правильно ли я понимаю, что и без LKRG, но с включенным lockdown=integrity, Singularity не сможет внедриться в систему?
| | |
| |
| 4.117, solardiz (ok), 20:52, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Да. Точнее, его нельзя будет внедрить без подписи или эксплуатации уязвимости.
| | |
|
|
|
| |
| |
| |
| 4.91, Аноним (91), 13:07, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
А Винде итак сплошные бэкдоры (правда в основном для Майкрософт) уже из коробки идут, да и потом ещё со многими прогами в систему бэкдоры подкидываются, да и любой антивирь тот же бэкдор тоже
| | |
|
|
| |
| 3.57, Аноним (55), 09:42, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Любой код должен иметь свою лицензию и автора. Допустимо, что автор может пожелать остаться анонимом, но без лицензии никак. Среди программистов есть консенсус по-поводу того, что код без лицензии приравнивается к ворованному или проприетарному коду. Такой код юзать нельзя ибо влечёт за собой риски. Код без лицензии это ловушка для дураков.
| | |
| |
| 4.59, мелстрой (?), 10:13, 24/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Среди корпоративных галерников обычно так, мне в принципе всё равно чей код использовать. Боишься что с гита снесут? Сделай зеркало в других гитах
| | |
| |
| 5.90, Аноним (89), 13:07, 24/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Подставляешь других, кто потенциально может позаимствовать твой код в свой проект, ничего не зная о его происхожлении.
| | |
|
|
|
| 2.102, Джон Титор (ok), 15:54, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
 Для других ОС тоже есть опенсорсные. Вы просто вводите людей в заблуждение своим вопросом. Дело ж не в операционной системе. И самое интересное что все это знают, но пафоса подбросить нужно.
| | |
|
| |
| 2.5, Аноним (4), 22:14, 23/01/2026 [^] [^^] [^^^] [ответить]
| +5 +/– |
Тоже понравилось. Так это открытый, а сколько закрытых существует... ммм :)
| | |
|
| 1.6, Аноним (6), 22:20, 23/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Отлично! будет чем обходить корпоративные запреты на рабочем ноутбуке.
| | |
| |
| |
| 3.21, 1 (??), 22:57, 23/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
пишут что можно настроить такие политики SELinux, что и у рута появиться ограничения
| | |
| |
| 4.25, нах. (?), 23:13, 23/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
настроить-то можно, только работать после этого будет разьве что xterm, да и тот не весь.
| | |
| |
| |
| 6.110, Аноним (-), 17:36, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
RBAC от GrSecurity? Политики сами писали или то что gradm нагенерил?
| | |
|
|
| 4.92, Аноним (91), 13:10, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Значит надо пользоваться Apparmor, там и у рута изначально ограничения, даже рут не может того что ему апармор не разрешит
| | |
|
| 3.22, Аноним (22), 23:02, 23/01/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Достаточно, поверх рута проверка целостности и краудстрайк которые пока зеленым не загорятся во внутреннюю сеть не пустят.
Да и рут в линуксе не сложно добыть даже если его нет, повышение привелегий уязвимость регулярная.
| | |
|
|
| 1.9, Кошкажена (?), 22:34, 23/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– | |
> распространяемый под лицензией MIT.
А вот было бы под GPL можно было бы требовать открытие исходников у всяких контор. Думайте!
| | |
| |
| 2.103, Джон Титор (ok), 15:58, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
И как вы это себе представляете? Попросите конторы пишущие антивирусы или какой-нибудь пентагон открыть исходный код своих продуктов?
| | |
| 2.111, penetrator (?), 17:55, 24/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
требовать то можно, но эти конторы скрывают сам факт использования, не говоря уже о коде
| | |
|
| 1.13, morphe (?), 22:46, 23/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Работает через insmod, в то время при любом hardening обычно динамическую загрузку модулей выключают, не говоря уж про то что для самого insmod требуются большие права
| | |
| |
| |
| 3.96, Аноним (89), 13:28, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
А ну да, на каждый чих ядро пересобирать, чтоб только модуль добавить.
| | |
| |
| 4.101, 12yoexpert (ok), 15:42, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
 читать научись, написано - стационар. туда новые железки попадают раз в год. потратить на включение драйвера, сборку и ребут минуту в сумме раз в год - это прекрасно, потому что всё остальное время у тебя быстрое ядро
| | |
|
|
| 2.27, Аноним (27), 23:22, 23/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Прикол тут в том что какой попало модуль все равно не загрузишь даже если они разрешены
> Prerequisites
> Kernel headers for your running kernel
кроме рута надо еще ключи от дома - надо собрать этот модуль с тем ядром что сейчас запущено
| | |
| |
| |
| 4.35, Аноним (35), 01:22, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Вообще если немного попарсить eBPF, их можно генерить на ходу, есть даже открытый проект на эту тему. Для старых ядер свои методы, качать ничего не придется. Впрочем и serverside компиляция тоже работает, см VoidLink
| | |
|
|
|
| 1.16, Аноним (16), 22:47, 23/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
Упоминается kprobe значит ли это что kde точно можно будет всяко ломать ?
| | |
| |
| 2.52, Аноним (52), 09:14, 24/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
можно, ̶н̶о̶ ̶з̶а̶ч̶е̶м̶, но при условии, если кде собран модулем ядра, а не как обычно, расширением для эмулятора терминала
| | |
|
| 1.20, Аноним (10), 22:49, 23/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Нынче повысить их не так уж и сложно, учитывая новости про рутовые рцэ
| | |
| 1.24, Аноним (23), 23:11, 23/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
>и использует механизм ftrace для незаметного перехвата системных вызовов без изменения точек входа в системные вызовы и без модификации функций ядра
Надо будет почитать. А то в stable api is nonsence все старые мануалы давно устарели.
| | |
| 1.30, мяв (?), 23:56, 23/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
ну лол. обход лкрг в виде модуля ядра - не интересно.
ибо он в тч умеет запрещать их загрузку. я уж молчу, что сначала кто-то должен этот руткит подписать
| | |
| |
| 2.34, Аноним (35), 00:52, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
AFAIK в паблике обход LKRG был только от одного человека, да и подписание модулей не типично для облака, разве что у MS. Другое дело, что обход LKRG это просто задачка, экономической эффективности 0.
Кстати, вот еще одна: как загрузить ядерный код на старом ядре с актуальными патчами, при запрете на загрузку модулей. Вы возможно удивитесь, но правильных ответов несколько.
| | |
|
| 1.32, Аноним (35), 00:43, 24/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Работает это довольно медленно, но как концепт того, что можно выжать из ftrace - cool. Кое-что пока фильрует в лоб, из-за чего руинит форматы вывода.
Собственные хуки защищает только от usermode, перестал блокировать модули и eBPF - в таком виде не опасен.
Сейчас еще не поленился изучить хуки LKRG и EDR, это точно кому-то пригодится... + годный дискорд
| | |
| 1.38, DIM (??), 02:26, 24/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А можно ли эту штуку использовать для получения рута на смартфоне?
| | |
| |
| |
| 3.63, DIM (??), 10:32, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Да я бы и рад, но кажется их не осталось. Последний раз рутовал через лет 10 назад черех Xposed... но кажется это программа давно заглохла и не развивается.
| | |
|
|
| 1.47, mos87 (ok), 08:03, 24/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Скачать, сконпелять и запустить от рута! Ой, ещё надо модуль подгрузить)
| | |
| |
| 2.66, Аноним (66), 10:40, 24/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Все сделают за вас и запихнут в ближайший флатпак. Они позаботятся о вас в один клик.
| | |
| 2.122, Аноним (122), 23:54, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
ЕМНИС "червь Морриса" сначала забрасывал на поражаемую систему "абордажный крюк" который затем тайком от пользователей делал "Скачать, сконпелять и запустить от рута!". Разве что модуля не подгружал.
| | |
|
| 1.62, жявамэн (ok), 10:27, 24/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 визгуны про скачать сконпелять
а как вы хотели? на то это и руткит.
рут получается сторонним способом но имея его как раз таки и устанавливается руткит с сокрытием чтобы в дальнейшем иметь контроль над системой
в каком месте ваши визгливые глазенки увидали что это ремоут екзекьюшен?
| | |
| 1.67, Аноним (67), 10:44, 24/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А если я пересоберу ядро, закину в /boot и перезагружусь то он это переживет?
| | |
| |
| 2.95, Аноним (89), 13:25, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Если другое ядро другой версии, то модуль тоже нужно пересобрать под это ядро.
| | |
|
| |
| 2.86, жявамэн (ok), 12:07, 24/01/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
уже в процессе
полный выпил софта на дырявой дедовской сишечке с переходом на нормальные языки
| | |
| |
| 3.87, Аноним (87), 12:25, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– | |
>полный выпил софта на дырявой дедовской сишечке
На ассемблер откатитесь, или сразу на машинные коды? Это прогресс!
| | |
| 3.93, Аноним (89), 13:11, 24/01/2026 [^] [^^] [^^^] [ответить]
| +/– |
Эти ваши "нормальные езыки" и обращения к ftrace чекают боровом?
| | |
| 3.100, 12yoexpert (ok), 15:38, 24/01/2026 [^] [^^] [^^^] [ответить]
| +1 +/– | |
ну да, а то не дай бог держать у себя на хосте "небезопасный" руткит. лучше пусть занимает пол гига и забивает весь проц, но зато "безопасно"
и как в вашу секту вообще народ попадает, это ж вообще логика должна отсутствовать
| | |
| 3.109, Аноним (-), 17:01, 24/01/2026 [^] [^^] [^^^] [ответить] | +/– | Компетенция в системных аспектах соответствует никнейму Ибо яп и руткит как так... большой текст свёрнут, показать | | |
|
|
| 1.94, Аноним (94), 13:16, 24/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Хорошая попытка провести перепись всех, кто не только пишет такое, но и скачивает
| | |
| 1.123, Grigoriy Wiser (ok), 09:19, 25/01/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 То есть, технически, сейчас 100% опенсорс софта уже может быть напичкано этим, и толком никто не знает, как найти\вычислить\вычистить? :D
Хотя тут немного занимаюсь для себя, хобби так сказать, так с Android, пусть хоть самым последним и 50 раз hardened, никаких руткитов не надо)
| | |
|
