Singularity Linux 开源内核级 Rootkit 技术分析

博主： admin
发布时间：2026 年 01 月 19 日
4 次浏览
暂无评论
5093字数
分类： Security 技术新闻 linux rootkit 内核安全 ftrace

Singularity Linux 开源内核级 Rootkit 技术分析

一、新闻概述

1. 标题

Singularity：首个开源 Linux 内核级 Rootkit 发布

2. 发布时间

2026 年 1 月 16 日

3. 来源

LWN.net

4. 作者

Daroc Alden

二、核心内容

1. 事件摘要

A. 主要内容

安全研究员 Matheus Alves 发布了名为 Singularity 的开源 Linux 内核级 Rootkit，这是首个完全拥抱开源精神的 Linux Rootkit 项目。

B. 核心亮点

基于 MIT 许可证的开源内核模块
利用 Ftrace 机制实现系统调用 hook
可隐藏进程、文件、网络连接和内核模块本身
支持 x86 和 x86_64 架构，兼容 32 位和 64 位系统调用

2. 关键信息

A. 项目信息

项目名称：Singularity
许可证：MIT
架构支持：x86、x86_64
内核版本：6.x 系列（Ubuntu、CentOS Stream、Debian、Fedora）

B. 技术特点

使用 Ftrace 而非传统的 CPU trap 向量修改
32 个隐藏进程槽位（数组实现）
自动启用 Ftrace 并阻止禁用
隐藏 TCP 端口 8081 的网络通信

C. 研究目的

主要用于安全研究，帮助研究人员了解 Rootkit 技术以改进检测和防御方法。

3. 背景介绍

A. 前置背景

传统 Linux Rootkit 通常不采用开源模式，限制了安全研究社区对相关技术的深入研究。

B. 相关上下文

Singularity 专注于如何在系统已被入侵后维持隐蔽存在，而非获取初始 root 权限的过程。

三、详细报道

1. 主要内容

A. 核心机制

Singularity 利用 Linux 内核的 Ftrace 机制来实现系统调用拦截，这相比传统 Rootkit 具有以下优势：

不需要修改 CPU trap 处理向量
不需要直接修补内核函数机器码
利用内核已有的 Ftrace hook 点

graph TB
    subgraph User_Space[用户空间]
        A[攻击者进程] -->|Signal 59| B[kill系统调用]
        C[管理工具] -->|读取目录| D[getdents系统调用]
        E[网络工具] -->|查询连接| F[netstat]
    end

    subgraph Kernel[内核空间]
        G[Singularity模块]
        G --> H[Ftrace Hook]
        H --> I[系统调用拦截]
        I --> J[进程隐藏]
        I --> K[文件隐藏]
        I --> L[网络隐藏]
        I --> M[日志过滤]

        N[隐藏进程列表]
        J <--> N

        O[内核模块列表]
        G -.隐藏.-> O
    end

    B -->|被拦截| I
    D -->|被过滤| I
    F -->|被修改| I

    style G fill:#ff6b6b
    style H fill:#4ecdc4
    style I fill:#45b7d1

Singularity 架构图

B. 隐藏功能实现

自身隐藏：

加载时清除内核 taint 标记
从活动内核模块列表中移除自身
阻止后续内核模块加载（表面上显示加载成功，实际静默失败）
无法通过正常接口卸载

进程隐藏：

使用 32 个进程 ID 的数组跟踪隐藏进程
两种添加方式：
- 发送未使用信号（默认为信号 59）到 kill() 系统调用
- 设置特殊环境变量后通过 execve() 启动进程
拦截信号 0、getpgid()、sched_getaffinity() 等系统调用
递减 sysinfo() 返回的进程总数
隐藏 /proc 下的进程文件

文件隐藏：

Hook getdents() 系统调用
从用户内存复制目录项，移除隐藏项，写回修改后的缓冲区
调整 stat() 返回的父目录链接数
拦截 openat() 和 readlink() 直接访问
过滤 read() 调用以隐藏日志和 kallsyms 等敏感文件

网络隐藏：

隐藏 TCP 端口 8081 的连接
拦截内核数据包接收代码
支持 IPv4 和 IPv6
隐藏来自 netstat 等工具的连接

2. 技术细节

A. 系统调用兼容性

Singularity 支持 32 位和 64 位系统调用接口，避免 32 位应用在 64 位内核上看到不同结果。所有 Ftrace hook 都会插入两次：

graph LR
    A[32位系统调用] --> B[通用包装函数]
    C[64位系统调用] --> B
    B --> D[调用约定转换]
    D --> E[实际Hook实现]
    E --> F[隐藏逻辑]

mermaid

B. 竞态条件漏洞

文件隐藏机制存在潜在竞态条件：另一个线程可能在目录项被修改前后进行竞争读取，从而发现被移除的项。

C. 限制与局限

无法防止磁盘取证分析
建议将隐藏文件放在内存临时文件系统中
无法防止外部网络捕获设备
日志过滤依赖已知字符串匹配

3. 数据与事实

A. 技术规格

进程隐藏槽位：32 个
默认隐藏端口：8081
默认隐藏信号：59
许可证：MIT

B. 支持平台

Ubuntu 6.x 内核
CentOS Stream 6.x 内核
Debian 6.x 内核
Fedora 6.x 内核

四、影响分析

1. 安全影响

A. 研究价值

提供开源 Rootkit 研究平台
帮助开发新的检测技术
演示当前可能的攻击技术

B. 防御挑战

传统检测方法可能失效：

内核模块列表检测无效
进程扫描工具被绕过
网络连接监控被欺骗

2. 检测方法

尽管 Singularity 设计精巧，但仍存在一些检测点：

graph LR
    A[正常系统调用] --> B{Ftrace Hook}
    B -->|未隐藏| C[正常处理]
    B -->|已隐藏| D[Singularity拦截]
    D --> E[修改结果]
    E --> F[返回给用户空间]

    G[检测方法] --> H{/proc/sys/kernel/ftrace_enabled}
    H -->|写入0| I{值仍为1?}
    I -->|是| J[发现Rootkit]
    I -->|否| K[正常]

    L[外部检测] --> M[网络捕获]
    L --> N[磁盘取证]

    style D fill:#ff6b6b
    style J fill:#ff6b6b
    style M fill:#ffd93d
    style N fill:#ffd93d

检测方法分析图

主要检测点：

Ftrace 强制启用：向 /proc/sys/kernel/ftrace_enabled 写入 0 后读取仍为 1
端口扫描：外部 nmap 扫描可发现 8081 端口开放
性能分析：perf top 可能显示 hook 函数
模块加载失败：后续模块加载后实际未生效

根据项目作者在评论区的说明，Singularity 已实现对 ftrace_enabled 的虚假禁用功能：

拦截对 /proc/sys/kernel/ftrace_enabled 的读写
用户写入的值会被存储并一致地反映回读取
内部 Ftrace 保持完全运行状态
控制对 trace、trace_pipe、enabled_functions 等接口的访问

3. 技术趋势

A. Rootkit 演进

从闭源到开源
从直接内核修改到利用合法机制
从单一隐藏到多层次伪装

B. 防御启示

需要更底层的检测机制
外部监控和远程分析的重要性
行为分析优于静态检测

五、各方反应

1. 社区讨论

A. 技术评论

读者指出模块加载失败可能引起怀疑，尤其是在企业环境中：

EDR 系统报告模块加载失败
企业姿态合规检查失败
NVIDIA 驱动加载导致黑屏

B. 作者回应

Matheus Alves 在评论区澄清：

模块加载和 eBPF 限制是临时功能
即将提交新功能绕过 LKRG
已成功绕过多个主流 EDR（CrowdStrike Falcon、Trend Micro、Kaspersky、Elastic Security）

2. 潜在应用

A. 正向用途

有读者提出类似 Martus 项目的想法：Rootkit 技术可被重新用于帮助记者和异见人士保护生死攸关的秘密。

B. 双刃剑性质

技术本身是中性的，关键在于使用目的和授权范围。

六、相关链接

1. 项目资源

Singularity GitHub 仓库：https://github.com/MatheuZSecurity/Singularity

2. 技术文档

Linux 内核 Ftrace 文档
LKRG（Linux Kernel Runtime Guard）
Martus 项目：https://martus.org/overview.html

3. 相关报道

LWN 原文：A free and open-source rootkit for Linux

七、总结

Singularity 作为首个开源的 Linux 内核级 Rootkit，为安全研究社区提供了宝贵的研究素材。它巧妙地利用了内核的 Ftrace 机制，实现了进程、文件、网络连接和自身踪迹的全面隐藏。

从防御角度看，Singularity 揭示了传统检测方法的局限性，强调需要结合多层检测策略：

内核完整性检查
远程网络监控
磁盘取证分析
行为异常检测

正如作者强调的，该工具的目的是推动安全研究前进，而非用于恶意目的。只有在获得明确授权的测试环境中使用，才能真正发挥其教育和研究价值。

参考资料

最后修改：2026 年 01 月 19 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

Singularity Linux 开源内核级 Rootkit 技术分析

admin • 2026 年 01 月 19 日

<h1>Singularity Linux 开源内核级 Rootkit 技术分析</h1><h1>一、新闻概述</h1><h2>1. 标题</h2><p>Singularity：首个开源 Linux 内核级 Rootkit 发布</p><h2>2. 发布时间</h2><p>2026 年 1 月 16 日</p><h2>3. 来源</h2><p>LWN.net</p><h2>4. 作者</h2><p>Daroc Alden</p><h1>二、核心内容</h1><h2>1. 事件摘要</h2><h3>A. 主要内容</h3><p>安全研究员 Matheus Alves 发布了名为 Singularity 的开源 Linux 内核级 Rootkit，这是首个完全拥抱开源精神的 Linux Rootkit 项目。</p><h3>B. 核心亮点</h3><ul><li>基于 MIT 许可证的开源内核模块</li><li>利用 Ftrace 机制实现系统调用 hook</li><li>可隐藏进程、文件、网络连接和内核模块本身</li><li>支持 x86 和 x86_64 架构，兼容 32 位和 64 位系统调用</li></ul><h2>2. 关键信息</h2><h3>A. 项目信息</h3><ul><li>项目名称：Singularity</li><li>许可证：MIT</li><li>架构支持：x86、x86_64</li><li>内核版本：6.x 系列（Ubuntu、CentOS Stream、Debian、Fedora）</li></ul><h3>B. 技术特点</h3><ul><li>使用 Ftrace 而非传统的 CPU trap 向量修改</li><li>32 个隐藏进程槽位（数组实现）</li><li>自动启用 Ftrace 并阻止禁用</li><li>隐藏 TCP 端口 8081 的网络通信</li></ul><h3>C. 研究目的</h3><p>主要用于安全研究，帮助研究人员了解 Rootkit 技术以改进检测和防御方法。</p><h2>3. 背景介绍</h2><h3>A. 前置背景</h3><p>传统 Linux Rootkit 通常不采用开源模式，限制了安全研究社区对相关技术的深入研究。</p><h3>B. 相关上下文</h3><p>Singularity 专注于如何在系统已被入侵后维持隐蔽存在，而非获取初始 root 权限的过程。</p><h1>三、详细报道</h1><h2>1. 主要内容</h2><h3>A. 核心机制</h3><p>Singularity 利用 Linux 内核的 Ftrace 机制来实现系统调用拦截，这相比传统 Rootkit 具有以下优势：</p><ul><li>不需要修改 CPU trap 处理向量</li><li>不需要直接修补内核函数机器码</li><li>利用内核已有的 Ftrace hook 点</li></ul><pre><code class="lang-mermaid">graph TB
    subgraph User_Space[用户空间]
        A[攻击者进程] --&gt;|Signal 59| B[kill系统调用]
        C[管理工具] --&gt;|读取目录| D[getdents系统调用]
        E[网络工具] --&gt;|查询连接| F[netstat]
    end

subgraph Kernel[内核空间]
        G[Singularity模块]
        G --&gt; H[Ftrace Hook]
        H --&gt; I[系统调用拦截]
        I --&gt; J[进程隐藏]
        I --&gt; K[文件隐藏]
        I --&gt; L[网络隐藏]
        I --&gt; M[日志过滤]

N[隐藏进程列表]
        J &lt;--&gt; N

O[内核模块列表]
        G -.隐藏.-&gt; O
    end

B --&gt;|被拦截| I
    D --&gt;|被过滤| I
    F --&gt;|被修改| I

style G fill:#ff6b6b
    style H fill:#4ecdc4
    style I fill:#45b7d1</code></pre><p><img src="https://static.op123.ren/static/3f/3fb5d35e1bb9f934.svg" alt="Singularity 架构图" title="Singularity 架构图" style=""></p><h3>B. 隐藏功能实现</h3><p><strong>自身隐藏</strong>：</p><ul><li>加载时清除内核 taint 标记</li><li>从活动内核模块列表中移除自身</li><li>阻止后续内核模块加载（表面上显示加载成功，实际静默失败）</li><li>无法通过正常接口卸载</li></ul><p><strong>进程隐藏</strong>：</p><ul><li>使用 32 个进程 ID 的数组跟踪隐藏进程</li><li><p>两种添加方式：</p><ul><li>发送未使用信号（默认为信号 59）到 kill() 系统调用</li><li>设置特殊环境变量后通过 execve() 启动进程</li></ul></li><li>拦截信号 0、getpgid()、sched_getaffinity() 等系统调用</li><li>递减 sysinfo() 返回的进程总数</li><li>隐藏 /proc 下的进程文件</li></ul><p><strong>文件隐藏</strong>：</p><ul><li>Hook getdents() 系统调用</li><li>从用户内存复制目录项，移除隐藏项，写回修改后的缓冲区</li><li>调整 stat() 返回的父目录链接数</li><li>拦截 openat() 和 readlink() 直接访问</li><li>过滤 read() 调用以隐藏日志和 kallsyms 等敏感文件</li></ul><p><strong>网络隐藏</strong>：</p><ul><li>隐藏 TCP 端口 8081 的连接</li><li>拦截内核数据包接收代码</li><li>支持 IPv4 和 IPv6</li><li>隐藏来自 netstat 等工具的连接</li></ul><h2>2. 技术细节</h2><h3>A. 系统调用兼容性</h3><p>Singularity 支持 32 位和 64 位系统调用接口，避免 32 位应用在 64 位内核上看到不同结果。所有 Ftrace hook 都会插入两次：</p><pre><code class="lang-mermaid">graph LR
    A[32位系统调用] --&gt; B[通用包装函数]
    C[64位系统调用] --&gt; B
    B --&gt; D[调用约定转换]
    D --&gt; E[实际Hook实现]
    E --&gt; F[隐藏逻辑]</code></pre><p><img src="https://static.op123.ren/static/ad/ad385932e454f1df.svg" alt="mermaid" title="mermaid" style=""></p><h3>B. 竞态条件漏洞</h3><p>文件隐藏机制存在潜在竞态条件：另一个线程可能在目录项被修改前后进行竞争读取，从而发现被移除的项。</p><h3>C. 限制与局限</h3><ul><li>无法防止磁盘取证分析</li><li>建议将隐藏文件放在内存临时文件系统中</li><li>无法防止外部网络捕获设备</li><li>日志过滤依赖已知字符串匹配</li></ul><h2>3. 数据与事实</h2><h3>A. 技术规格</h3><ul><li>进程隐藏槽位：32 个</li><li>默认隐藏端口：8081</li><li>默认隐藏信号：59</li><li>许可证：MIT</li></ul><h3>B. 支持平台</h3><ul><li>Ubuntu 6.x 内核</li><li>CentOS Stream 6.x 内核</li><li>Debian 6.x 内核</li><li>Fedora 6.x 内核</li></ul><h1>四、影响分析</h1><h2>1. 安全影响</h2><h3>A. 研究价值</h3><ul><li>提供开源 Rootkit 研究平台</li><li>帮助开发新的检测技术</li><li>演示当前可能的攻击技术</li></ul><h3>B. 防御挑战</h3><p>传统检测方法可能失效：</p><ul><li>内核模块列表检测无效</li><li>进程扫描工具被绕过</li><li>网络连接监控被欺骗</li></ul><h2>2. 检测方法</h2><p>尽管 Singularity 设计精巧，但仍存在一些检测点：</p><pre><code class="lang-mermaid">graph LR
    A[正常系统调用] --&gt; B{Ftrace Hook}
    B --&gt;|未隐藏| C[正常处理]
    B --&gt;|已隐藏| D[Singularity拦截]
    D --&gt; E[修改结果]
    E --&gt; F[返回给用户空间]

G[检测方法] --&gt; H{/proc/sys/kernel/ftrace_enabled}
    H --&gt;|写入0| I{值仍为1?}
    I --&gt;|是| J[发现Rootkit]
    I --&gt;|否| K[正常]

L[外部检测] --&gt; M[网络捕获]
    L --&gt; N[磁盘取证]

style D fill:#ff6b6b
    style J fill:#ff6b6b
    style M fill:#ffd93d
    style N fill:#ffd93d</code></pre><p><img src="https://static.op123.ren/static/84/84ee557c28401433.svg" alt="检测方法分析图" title="检测方法分析图" style=""></p><p><strong>主要检测点</strong>：</p><ol><li>Ftrace 强制启用：向 /proc/sys/kernel/ftrace_enabled 写入 0 后读取仍为 1</li><li>端口扫描：外部 nmap 扫描可发现 8081 端口开放</li><li>性能分析：perf top 可能显示 hook 函数</li><li>模块加载失败：后续模块加载后实际未生效</li></ol><p>根据项目作者在评论区的说明，Singularity 已实现对 ftrace_enabled 的虚假禁用功能：</p><ul><li>拦截对 /proc/sys/kernel/ftrace_enabled 的读写</li><li>用户写入的值会被存储并一致地反映回读取</li><li>内部 Ftrace 保持完全运行状态</li><li>控制对 trace、trace_pipe、enabled_functions 等接口的访问</li></ul><h2>3. 技术趋势</h2><h3>A. Rootkit 演进</h3><ul><li>从闭源到开源</li><li>从直接内核修改到利用合法机制</li><li>从单一隐藏到多层次伪装</li></ul><h3>B. 防御启示</h3><ul><li>需要更底层的检测机制</li><li>外部监控和远程分析的重要性</li><li>行为分析优于静态检测</li></ul><h1>五、各方反应</h1><h2>1. 社区讨论</h2><h3>A. 技术评论</h3><p>读者指出模块加载失败可能引起怀疑，尤其是在企业环境中：</p><ul><li>EDR 系统报告模块加载失败</li><li>企业姿态合规检查失败</li><li>NVIDIA 驱动加载导致黑屏</li></ul><h3>B. 作者回应</h3><p>Matheus Alves 在评论区澄清：</p><ul><li>模块加载和 eBPF 限制是临时功能</li><li>即将提交新功能绕过 LKRG</li><li>已成功绕过多个主流 EDR（CrowdStrike Falcon、Trend Micro、Kaspersky、Elastic Security）</li></ul><h2>2. 潜在应用</h2><h3>A. 正向用途</h3><p>有读者提出类似 Martus 项目的想法：Rootkit 技术可被重新用于帮助记者和异见人士保护生死攸关的秘密。</p><h3>B. 双刃剑性质</h3><p>技术本身是中性的，关键在于使用目的和授权范围。</p><h1>六、相关链接</h1><h2>1. 项目资源</h2><ul><li>Singularity GitHub 仓库：<span class="external-link"><a class="no-external-link" href="https://github.com/MatheuZSecurity/Singularity" target="_blank"><i data-feather="external-link"></i>https://github.com/MatheuZSecurity/Singularity</a></span></li></ul><h2>2. 技术文档</h2><ul><li>Linux 内核 Ftrace 文档</li><li>LKRG（Linux Kernel Runtime Guard）</li><li>Martus 项目：<span class="external-link"><a class="no-external-link" href="https://martus.org/overview.html" target="_blank"><i data-feather="external-link"></i>https://martus.org/overview.html</a></span></li></ul><h2>3. 相关报道</h2><ul><li>LWN 原文：A free and open-source rootkit for Linux</li></ul><h1>七、总结</h1><p>Singularity 作为首个开源的 Linux 内核级 Rootkit，为安全研究社区提供了宝贵的研究素材。它巧妙地利用了内核的 Ftrace 机制，实现了进程、文件、网络连接和自身踪迹的全面隐藏。</p><p>从防御角度看，Singularity 揭示了传统检测方法的局限性，强调需要结合多层检测策略：</p><ol><li>内核完整性检查</li><li>远程网络监控</li><li>磁盘取证分析</li><li>行为异常检测</li></ol><p>正如作者强调的，该工具的目的是推动安全研究前进，而非用于恶意目的。只有在获得明确授权的测试环境中使用，才能真正发挥其教育和研究价值。</p><hr><h2>参考资料</h2><ol><li><span class="external-link"><a class="no-external-link" href="https://lwn.net/SubscriberLink/1053099/19c2e8180aeb0438/" target="_blank"><i data-feather="external-link"></i>A free and open-source rootkit for Linux - LWN.net</a></span></li><li><span class="external-link"><a class="no-external-link" href="https://github.com/MatheuZSecurity/Singularity" target="_blank"><i data-feather="external-link"></i>Singularity GitHub Repository</a></span></li></ol>

Singularity Linux 开源内核级 Rootkit 技术分析

一、新闻概述

1. 标题

2. 发布时间

3. 来源

4. 作者

二、核心内容

1. 事件摘要

A. 主要内容

B. 核心亮点

2. 关键信息

A. 项目信息

B. 技术特点

C. 研究目的

3. 背景介绍

A. 前置背景

B. 相关上下文

三、详细报道

1. 主要内容

A. 核心机制

B. 隐藏功能实现

2. 技术细节

A. 系统调用兼容性

B. 竞态条件漏洞

C. 限制与局限

3. 数据与事实

A. 技术规格

B. 支持平台

四、影响分析

1. 安全影响

A. 研究价值

B. 防御挑战

2. 检测方法

3. 技术趋势

A. Rootkit 演进

B. 防御启示

五、各方反应

1. 社区讨论

A. 技术评论

B. 作者回应

2. 潜在应用

A. 正向用途

B. 双刃剑性质

六、相关链接

1. 项目资源

2. 技术文档

3. 相关报道

七、总结

参考资料

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

Singularity Linux 开源内核级 Rootkit 技术分析

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款