Как работают руткиты и можно ли им противодействовать на примере Singularity

Всем привет. Экспрементируя со способами закрепления на Linux системах в рамках разработки своей системы мониторига безопасности, я наткнулся на руткит с открытым исходным кодом Singularity . Он показался мне очень интересным, так как использует большое количество методов для сокрытия себя от обнаружения, а открытый исходный исходный код позволяет досконально изучить эти методы. В данной статье я подробно расскажу вам, с помощью каких подходов руткиты закрепляются на Linux системах на примере Singularity.

https://habr.com/ru/articles/996568/

#rootkit #rootkits #руткиты #руткит #ядро_linux #мониторинг #ebpf #обнаружение_атак #информационная_безопасность #защита_сервера

VoidLink: Dissecting an AI-Generated C2 Implant

VoidLink is a Linux C2 framework that generates implant binaries for cloud and enterprise environments. The implant, likely built using an LLM coding agent, demonstrates advanced capabilities including multi-cloud targeting, container awareness, and kernel-level stealth. It fingerprints cloud environments across AWS, GCP, Azure, Alibaba Cloud, and Tencent Cloud, harvesting credentials and detecting container runtimes. The malware includes plugins for container escape and Kubernetes privilege escalation, as well as a kernel-level rootkit that adapts its approach based on the host's kernel version. C2 communications use AES-256-GCM over HTTPS, disguised as normal web traffic. VoidLink highlights the growing concern of LLM-generated implants reducing the skill barrier for producing sophisticated malware.

Pulse ID: 698b6edee61bb019b683e89d
Pulse Link: https://otx.alienvault.com/pulse/698b6edee61bb019b683e89d
Pulse Author: AlienVault
Created: 2026-02-10 17:46:06

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#AWS #Azure #Cloud #CyberSecurity #HTTP #HTTPS #InfoSec #Linux #Malware #OTX #OpenThreatExchange #RAT #Rootkit #bot #AlienVault

RE: https://fedi.lwn.net/@lwn/115906069534316575

#linux #rootkit #security

Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF

#infosec #singularity #rootkit #floss

https://www.opennet.ru/opennews/art.shtml?num=64663

> Матеус Алвес ( Matheus Alves ), исследователь безопасности, специализирующийся на вредоносном ПО, опубликовал обновление проекта Singularity , развивающего открытый руткит для ядра Linux, распространяемый под лицензией MIT.

Целью проекта является демонстрация методов, позволяющих скрыть своё присутствие после получения root-доступа и сохранить возможность скрытого выполнения привилегированных операций. Предполагается, что Singularity может быть полезен исследователям безопасности для тестирования и разработки утилит обнаружения и блокирования руткитов

Linux 6.x kernel #rootkit

https://github.com/MatheuZSecurity/Singularity

⚠️ VOIDLINK rootkit evolves stealth tactics VOIDLINK is a stealthy Windows rootkit abusing kernel drivers to hide processes, files and registry keys. It uses persistence, anti-forensics and evasion to maintain long-term access, complicating detection and incident response. #ransomNews #rootkit

Questo #rootkit #Linux è open source (e serve a capire perché i sistemi di difesa falliscono)
https://go.squidapp.co/n/iW7sXS9

🎉 Ah yes, the revolution we've all been waiting for: a #rootkit for #Linux that lets hackers live their "open-source dreams" too! 🙃 Who wouldn't want to give malicious actors a chance to show off their coding skills in the name of freedom? 🤦‍♂️ Let's all celebrate with a round of applause for #security nightmares! 👏
https://lwn.net/SubscriberLink/1053099/19c2e8180aeb0438/ #open-source #nightmares #hacking #HackerNews #ngated

A free and open-source rootkit for Linux

https://lwn.net/SubscriberLink/1053099/19c2e8180aeb0438/

#HackerNews #freeopensource #rootkit #Linux #cybersecurity #open-source

🥳 Oh look, yet another ✨ "stealthy" ✨ #rootkit trying to make #Linux less secure! Because who doesn't love a good kernel bypass party? 🎉 GitHub's just thrilled to add "invisible chaos" to its menu of developer delights! 😂
https://github.com/MatheuZSecurity/Singularity #Security #KernelBreach #GitHub #Chaos #HackerNews #ngated

🌘 Singularity：針對現代 Linux 核心 (6.x) 的隱蔽式 Rootkit
➤ 深度解析現代 Linux 匿蹤技術與內核安全防禦挑戰
✤ https://github.com/MatheuZSecurity/Singularity
Singularity 是一款專為 Linux 6.x 現代核心設計的高級內核模組 (LKM) Rootkit。它透過成熟的 ftrace 基礎架構實現系統調用掛鉤（Syscall Hooking），展現出極強的隱蔽與防護能力。該工具不僅能隱藏進程、檔案與網路連線，還具備實時過濾核心日誌與系統日誌的功能，甚至能有效規避 eBPF 偵測工具與記憶體取證分析。透過 ICMP 觸發的反向 Shell 和多種自動化提權機制，Singularity 為安全研究人員展示了現代內核威脅的技術邊界。
+ 這款工具對 ftrace 的運用非常巧妙，特別是針對 eBPF 和 io_uring 的防禦措施，說明開發者對現代 Linux 監控機制有極深入的研究。
+ 過濾 /proc/
##資訊安全 #Linux核心 #Rootkit #滲透測試 #EDR規避

Chinese state hackers use #rootkit to hide #ToneShell #malware activity

https://www.bleepingcomputer.com/news/security/chinese-state-hackers-use-rootkit-to-hide-toneshell-malware-activity/

#China #cybersecurity

#Mustang #Panda deploys ToneShell via signed kernel-mode #rootkit driver
https://securityaffairs.com/186318/security/mustang-panda-deploys-toneshell-via-signed-kernel-mode-rootkit-driver.html
#securityaffairs #hacking #china #malware

Nova backdoor ToneShell usa rootkit ao nível do kernel para atacar governos
🔗 https://tugatech.com.pt/t76125-nova-backdoor-toneshell-usa-rootkit-ao-nivel-do-kernel-para-atacar-governos

#kernel #rootkit 

#CheckPoint Research exposed #ValleyRAT’s modular system, including a kernel-mode #rootkit that can remain loadable on fully updated #Windows 11 despite built-in protections. The research linked leaked builder artifacts to plugins and identified about 6,000 samples, with roughly 85 percent emerging in the last six months after the builder’s public release.

https://research.checkpoint.com/2025/cracking-valleyrat-from-builder-secrets-to-kernel-rootkits/

Um ehrlich zu sein, will ich überhaupt nicht, dass Spiele mit Kernel Level Anti Cheat mit #Linux kompatibel sind. Wenn ein Spiel Zugriff auf den Kernel meines Betriebssystems haben will, um angeblich gegen Cheater vorzugehen, dann will ich es erst gar nicht spielen. Denn letztlich ist es ein aufgezwungenes #Rootkit, dass gegen Cheater überhaupt nichts unternimmt, sondern dich quasi nur abhört.

#Gaming #LinuxGaming #Steam #SteamDeck #SteamMachine #SteamFrame #Proton

https://www.gamingonlinux.com/2025/11/anti-cheat-will-still-be-one-of-the-biggest-problems-for-the-new-steam-machine/

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIHiwjttrKpxU7aQY3H/CnZG8vFxI7pRPzvXI3348XGI3 ari@ari.lt #ssh #sshkey #addmysshkey #pubnix #nix #giveroot #root #ineedroot #rootssh #rootkit #sshroot #giveroot #unix #linux

Alerta Cisco: Falhas graves em firewalls ASA e FTD agora usadas para ataques DoS que forçam reboots
🔗 https://tugatech.com.pt/t73993-alerta-cisco-falhas-graves-em-firewalls-asa-e-ftd-agora-usadas-para-ataques-dos-que-forcam-reboots

#ataque #cve #firewall #firewalls #ios #linux #malware #microsoft #mundo #root #rootkit #segurança #sem #software #vulnerabilidade #vulnerabilidades 

📰 Cisco Zero-Day Flaw Actively Exploited to Implant Linux Rootkits on Network Switches

⚠️ CRITICAL: A Cisco zero-day (CVE-2025-20352) is being actively exploited to install Linux rootkits on network switches. The 'ZeroDisco' campaign targets Catalyst devices. Patch immediately! #Cisco #ZeroDay #CVE #Infosec #Rootkit

🔗 https://cybernetsec.io/articles/cisco-zero-day-cve-2025-20352-exploited-to-deploy-linux-rootkits-on-switches

📰 New 'LinkPro' Linux Rootkit Uses eBPF and 'Magic Packets' for Ultimate Stealth

New 'LinkPro' Linux rootkit found using eBPF to hide from security tools. 🐧 It stays dormant until activated by a 'magic packet' sent over the network. The malware was deployed via a malicious Docker image on AWS. #Linux #Malware #Rootkit #eBPF

🔗 https://cybernetsec.io/articles/new-linkpro-linux-rootkit-uses-ebpf-to-hide-from-security-tools