Когда пентест дороже, чем лечение депрессии
Image

Кибербез без цензуры

Подписка = +10 к цинизму →

Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux

Reverse shell через ICMP. Опубликован руткит под лицензией MIT, который обходит все защиты Linux

Автор описывает скрытие процессов и файлов, маскировку сети и антидетект-подходы.

image

Если вы привыкли думать, что «все важное видно в логах», Singularity создан ровно для того, чтобы спорить с этим тезисом на уровне ядра. Исследователь безопасности Матеус Алвес (Matheus Alves), который занимается темой вредоносного ПО и offensive-направлением, обновил свой открытый проект Singularity, это руткит в виде модуля ядра Linux (LKM), распространяемый под лицензией MIT.

По описанию автора, Singularity ориентирован на современные ядра ветки 6.x и делает ставку на «стелс» через перехват системных вызовов с использованием инфраструктуры ftrace. В актуальной версии в одном месте собраны механики, которые обычно приходится искать по разным PoC: скрытие процессов и файлов, маскировка сетевых соединений и портов, «самоскрытие» модуля, фильтрация вывода dmesg и журналов, а также отдельные модули противодействия детекту, включая обход LKRG и сокрытие активности от eBPF-инструментов рантайм-безопасности вроде Falco и Tracee.

Отдельно выделяются вещи, которые важны не столько «для эффекта», сколько для реальной операционной стойкости руткита: проект заявляет фильтрацию audit-сообщений на уровне netlink, сокрытие следов в procfs (включая /proc/kcore и /proc/kallsyms) и даже обход SELinux enforcing в связке с триггером через ICMP. В разборе по обходу Elastic Security автор прямо описывает сценарии, где свежая версия Singularity использует ICMP-хук как механизм запуска обратного подключения и параллельно пытается уходить от поведенческих правил EDR.

Судя по истории коммитов, проект активно допиливается в январе 2026 года: 20 января в репозиторий ушли изменения, затрагивающие модуль обхода LKRG (в частности, правки, связанные с режимом notrace в ключевых функциях), а 8 января обновлялось README с уточнениями по протестированным версиям ядра. При этом оформленных GitHub-релизов у проекта пока нет, обновления публикуются прямо в основной ветке.

Важно проговорить очевидное: подобные проекты полезны защитникам ровно до тех пор, пока остаются в лаборатории и используются как материал для моделирования угроз, проверки телеметрии и качества детектов. Публикация и развитие Singularity, как бы это ни звучало, это еще один «контрольный выстрел» в иллюзию, что мониторинг на уровне user space и аккуратные правила на события всегда увидят атаку, если злоумышленник уже добрался до ядра.