Singularity: LKM rootkit for modern kernels (6x)
5 months ago
- #linux
- #cybersecurity
- #rootkit
- Singularity是一个针对现代内核(6.x版本)设计的Linux内核模块(LKM)rootkit。
- 一旦加载,该模块会自动隐藏,除非重启机器否则无法移除。
- 使用'kill -59 PID'可以隐藏进程,使其对'ps'、'top'和'ls'等工具不可见。
- 通过编辑'include/hiding_directory_def.h'文件可以隐藏目录和文件。
- 使用魔法词'MAGIC=mtz bash'可获取root权限。
- 隐藏端口(如8081)对'ss'、'netstat'和'lsof'等工具不可见。
- 已在6.8.0-79-generic和6.12内核版本测试,其他版本可能不兼容。
- Singularity能绕过'unhide'、'chkrootkit'和'rkhunter'等标准检测工具。
- 为规避取证,建议使用'/dev/shm'(tmpfs)和'shred'命令减少磁盘痕迹。
- 启用持久化功能后,模块会在'debugfs'中可见。
- 功能包括进程隐藏、文件系统隐藏、网络隐身和内核日志清理。
- Rootkit Researchers社区专注于rootkit、恶意软件、红队行动和网络安全研究。
- Singularity仅用于教育目的和受控环境演示。