OpenForum RSS: Проект Singularity развивает открытый руткит, обходящий SELinux, Netfilter, LKRG и eBPF https://opennet.ru/openforum/vsluhforumID3/139023.html Матеус Алвес (Matheus Alves), исследователь безопасности, специализирующийся на вредоносном ПО, опубликовал обновление проекта Singularity, развивающего открытый руткит для ядра Linux, распространяемый под лицензией MIT. Целью проекта является демонстрация методов, позволяющих скрыть своё присутствие после получения root-доступа и сохранить возможность скрытого выполнения привилегированных операций. Предполагается, что Singularity может быть полезен исследователям безопасности для тестирования и разработки утилит обнаружения и блокирования руткитов...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64663<br> Проект Singularity развивает открытый руткит, обходящий SELi... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139023.html#149 Fri, 30 Jan 2026 13:08:07 GMT &gt; ну лол. обход лкрг в виде модуля ядра - не интересно.<br>&gt; ибо он в тч умеет запрещать их загрузку. я уж молчу, что <br>&gt; сначала кто-то должен этот руткит подписать <br><br>Для начала ядро Linux само сто лет умеет запрещать загрузку модулей. Можно после инициализации системы совсем вырубить вгрузку новых модулей - и усе, без ребута не получится.<br> Проект Singularity развивает открытый руткит, обходящий SELi... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139023.html#148 Fri, 30 Jan 2026 13:06:40 GMT &gt;&gt; распространяемый под лицензией MIT.<br>&gt; А вот было бы под GPL можно было бы требовать открытие исходников <br>&gt; у всяких контор. Думайте!<br><br>Так это ... удобно же. Втулил сабж кому попало, исходниками как раз делиться не надо, и все типа легально, особенно если его 5-м шрифтом проинформировать на манер NSA что мол так и так - система шпионит за вами, работает не на вас и вы [x] agree.<br> Проект Singularity развивает открытый руткит, обходящий SELi... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139023.html#147 Fri, 30 Jan 2026 13:04:43 GMT &gt; А Винде итак сплошные бэкдоры (правда в основном для Майкрософт) уже из <br>&gt; коробки идут, да и потом ещё со многими прогами в систему <br>&gt; бэкдоры подкидываются, да и любой антивирь тот же бэкдор тоже <br><br>Да весь майкрософт с их битлокером - один большой бэкдор, https://habr.com/ru/news/988432<br> Проект Singularity развивает открытый руткит, обходящий SELi... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139023.html#146 Fri, 30 Jan 2026 13:03:12 GMT &gt; Мы еще раз задумались не сделать ли эту опцию или часть ее эффекта включенной по умолчанию.<br><br>Тогда все атакующие будут учитывать это и стараться это обойти :). В этом смысле мощные но не совсем очевидные фичи - дают сообразительным защищающимся фактор внезапности для атакуюшего где их фокус не был предусмотрен, руткит или что там ломается или палится и вот оно - обнаружено. А если каждый первый когфиг так делает - какая же там внезапность? При атаке это учтут и проверят.<br> Проект Singularity развивает открытый руткит, обходящий SELi... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139023.html#145 Fri, 30 Jan 2026 12:28:19 GMT &gt;ибо буткиты так-же не получат того, что под NDA.<br><br>Профессиональные шпионы - и не получат то, что может получить фирма-прокладка, подписав NDA! Ну-ну...<br><br>&gt;Промышленные шпионажем или реверсом никто не занимается.<br><br>Там значительная часть публичного блога компании посвящена реверсу и бэкдорам производителей, а про промышленный шпионаж в нескольких постах с гордостью упомянуто.<br><br>&gt;Просто, при существующем выборе, покупается то, что уже придерживается стандартными утилитами для дампа прошивки.<br><br>У компаний по восстановлению данных подобного выбора нет. Им клиент приносит девайс, какой у него есть, а дальше вертись как хочешь, но данные достань, за это им и платят. А кроме подобных компаний источников инфы о дампинге в инете почти нет, а сами компании тем, что составляет основу их бизнеса, делиться не хотят. Там в блоге обойдена специфика, позволяющая воспроизвести, основной посыл каждого поста в блоге - это то, что у них есть готовые методы для такого кейса, с посылом что надо идти именно к ним, а не к конкур Проект Singularity развивает открытый руткит, обходящий SELi... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139023.html#144 Thu, 29 Jan 2026 16:00:56 GMT Если спеков нет в открытом доступе, то можно просить производителя. Он может и дать спеки для вашего проекта. В большинстве случаев даст под NDA.<br>Если для какой-то организации критично надо, то подпишет NDA. Подавляющему большинству хватит того, что дампят свободные утилиты, ибо буткиты так-же не получат того, что под NDA.<br>Промышленные шпионажем или реверсом никто не занимается. Просто, при существующем выборе, покупается то, что уже придерживается стандартными утилитами для дампа прошивки.<br> Проект Singularity развивает открытый руткит, обходящий SELi... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139023.html#143 Thu, 29 Jan 2026 15:54:51 GMT Для большинства чипов нет свободных утилит ни для дампа, ни для разбора. Это биос в лучшем случае можно слить, причём разбор дампа самому придётся делать, реверсить и писать. Для других устройств всё намного проблематичнее и инструменты для этого хрен найдёшь, они за $$$ и &#8381;&#8381;&#8381; продаются, а из опенсорсных инструментов в большинстве случаев только OpenOCD и flashrom.<br> Проект Singularity развивает открытый руткит, обходящий SELi... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139023.html#142 Thu, 29 Jan 2026 11:04:46 GMT Прошивки не меняются. И их дампить и проверять хеши необходимо, для защиты от буткитов.<br><br>Дампить необходимо все, что легко дампится свободными утилитами, без всякой пайки. Это для начала.<br><br>Конфиги сливаются свободными утилитами отдельно. Где их можно слить.<br> Проект Singularity развивает открытый руткит, обходящий SELi... (Аноним) https://opennet.ru/openforum/vsluhforumID3/139023.html#141 Wed, 28 Jan 2026 12:01:40 GMT &gt;Но одна и та же плата, после настройки и без логов, прошивку менять не будет<br><br>Прошивку нет, а дамп флеша - да. А структуру дампа только сама прошивка и вендорские утилиты знают. Причём вендорские утилты ты просто так не получишь.<br><br>&gt;Не надо пытаться сдампить сразу все прошивки, включая прошивки дисков<br><br>Тогда не надо дампить вообще ничего, так как малварь засунут везде где смогут, авось где-нибудь выживет. А поскольку всюду её засовывать накладно - приоритет отдадут тем областям, откуда вычистить будет проблематично.<br><br>&gt;Информацией как сдампить прошивки можно обмениваться.<br><br>То-то на сайтах-блогах подгебнявых заведомо незаконных бизнесов, внаглую хвастающихся в других блог-постах широкой сетью промышленного шпионажа в индустрии, коррупционными связями в ведущих институтах РАН с целью использования "уникального" (на самом деле аналог именно описанного оборудования можно задешево сделать из доступных компонентов, а вот с расходниками как раз проблема будет) оборудования институтов за "благодарность" сотрудн