文章总结： Singularity是一款针对Linux6.x内核的高级Rootkit，利用ftrace基础设施进行系统调用挂钩以绕过EDR和eBPF检测。它具备进程、文件及网络隐藏，权限提升，日志清洗和远程访问等功能。其核心特性包括拦截BPF系统调用和利用io_uring防护来对抗eBPF工具，能有效规避标准安全检测工具。 综合评分： 88 文章分类： 恶意软件,免杀,二进制安全,终端安全,红队

Singularity：高级 Linux 内核 Rootkit 使用 ftrace 绕过 EDR 和 eBPF

TtTeam

2025年12月18日 15:37 广东

一个强大的 Linux 内核模块（LKM）rootkit，专为现代 6.x   内核设计。它通过 ftrace 基础设施的先进系统呼叫挂钩，提供全面的隐身能力。

一个在内核层面运行的复杂 rootkit，提供：

• 进程隐藏 ：让任何进程对系统完全隐形
• 文件与目录隐藏 ：利用模式匹配隐藏文件
• 网络隐形 ：隐藏 TCP/UDP 连接和端口
• 权限升级 ：多种方式获得即时根权限
• 日志净化 ：实时过滤内核日志和系统日志
• 自我隐藏 ：从模块列表和系统监控中移除
• 远程访问 ：ICMP 触发的反向弹壳，具自动隐藏功能
• 反探测 ：阻挡 eBPF 工具，io_uring 作，防止模块加载
• 审计规避 ：在网链层面为隐藏进程发送审计消息

特征

• 通过信号和环境变量进行环境触发的特权提升
• 完整过程隐藏于/proc 和监控工具
• 基于模式的文件系统文件和目录隐藏
• 网络连接对网络状态、SS 和数据包分析器的隐蔽
• dmesg 和 journalctl 的实时内核日志过滤
• 模块对 lsmod 和 /sys/module 的自我隐藏
• 自动内核污染标志归一化
• 用于防止基于 eBPF 的检测的 BPF 系统调用拦截
• io_uring 对异步 I/O 绕过的保护
• 防止新内核模块加载
• 内核消息和系统日志的日志掩蔽
• 规避标准 rootkit 检测器（unhide、chkrootkit、rkhunter）
• 通过追踪点钩子自动跟踪和隐藏子进程
• 多架构支持（x64 + ia32）
• 网络分组级过滤，带有原始套接字保护
• 防止所有文件输入/输出变体（读、写、拼接、发送文件、三通、四 copy_file_range）
• 网链级别审计消息过滤以规避审计检测

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《Singularity：高级 Linux 内核 Rootkit 使用 ftrace 绕过 EDR 和 eBPF》