# Singularity Linux内核Rootkit:Ftrace Hook实现架构深度分析 > 深入分析开源Linux内核rootkit Singularity的ftrace hooking实现机制,涵盖进程隐藏、文件隐藏、网络隐身等关键技术点。 ## 元数据 - 路径: /posts/2026/01/19/singularity-linux-kernel-rootkit-ftrace-hooking-implementation-analysis/ - 发布时间: 2026-01-19T04:31:56+08:00 - 分类: [security](/categories/security/) - 站点: https://blog.hotdry.top ## 正文 在Linux安全研究领域,rootkit技术一直是攻防对抗的前沿阵地。近期开源的Singularity rootkit以其先进的ftrace hooking技术和全面的隐身能力引起了广泛关注。本文将从技术实现角度深入分析Singularity的架构设计、核心功能模块以及其对抗现代安全检测的机制。 ## 1. Singularity概述:现代内核rootkit的新范式 Singularity是一个针对Linux 6.x内核设计的开源内核模块(LKM)rootkit,由MatheuZSecurity开发。与传统的rootkit不同,Singularity采用了基于ftrace基础设施的系统调用劫持技术,而非直接修改系统调用表(sys_call_table)。这种设计选择使其在对抗基于内存完整性检查的安全工具时具有显著优势。 根据项目文档,Singularity的设计目标是回答一个问题:"如果一个rootkit成功渗透并加载到系统中,它能隐藏到什么程度?"为此,它实现了全面的隐身功能,包括: - **进程隐藏**:使任何进程对系统完全不可见 - **文件与目录隐藏**:基于模式匹配隐藏文件和目录 - **网络隐身**:隐藏TCP/UDP连接、端口和连接跟踪条目 - **权限提升**:多种即时获取root权限的方法 - **日志清理**:实时过滤内核日志和系统日志 - **自我隐藏**:从模块列表和系统监控中移除自身 - **远程访问**:ICMP触发的反向shell,自动隐藏 - **反检测**:阻止eBPF工具、io_uring操作,防止模块加载 ## 2. Ftrace Hooking实现机制 ### 2.1 Ftrace基础架构利用 Ftrace是Linux内核内置的跟踪框架,原本用于性能分析和调试。Singularity巧妙地利用ftrace的function tracer功能来劫持系统调用。与传统的sys_call_table修改相比,ftrace hooking具有以下优势: 1. **无需修改内核内存布局**:ftrace提供了合法的hook接口 2. **绕过内存完整性检查**:不直接修改关键数据结构 3. **动态hook管理**:可以动态添加和移除hook 4. **内核版本兼容性**:ftrace接口相对稳定 Singularity的ftrace hooking实现位于`ftrace_helper.h`中,通过定义`HOOK`宏来简化hook的创建和管理。每个hook包含三个关键字段:`name`(函数名)、`function`(hook函数)和`original`(原始函数指针)。 ### 2.2 多架构支持 Singularity支持x86_64和ia32两种架构,通过条件编译处理不同架构的系统调用约定: ```c #if defined(CONFIG_X86_64) && (LINUX_VERSION_CODE >= KERNEL_VERSION(4,17,0)) #define PTREGS_SYSCALL_STUBS 1 #endif ``` 对于x86_64架构,它使用ptregs风格的参数传递;对于ia32架构,则使用传统的参数传递方式。这种设计确保了在不同架构上的兼容性。 ### 2.3 Hook保护机制 为了防止递归调用和hook被意外移除,Singularity实现了hook保护机制: 1. **递归检测**:在hook函数中检查调用上下文,避免无限递归 2. **ftrace控制保护**:拦截所有尝试禁用ftrace的操作 3. **智能缓存**:对频繁操作使用PID缓存,减少性能开销 ## 3. 核心功能模块分析 ### 3.1 进程隐藏实现 进程隐藏是rootkit最基本也是最关键的功能之一。Singularity通过多个层次的hook实现了全面的进程隐藏: **目录列表过滤**:hook `getdents`和`getdents64`系统调用,从目录列表中过滤隐藏进程的PID目录。当用户执行`ls /proc`或相关命令时,隐藏进程的目录条目被移除。 **进程信息隐藏**:hook `stat`、`lstat`、`statx`、`newfstatat`等系统调用,当查询隐藏进程的信息时返回`ENOENT`错误。这包括: - `kill`信号0检查(返回ESRCH) - `getsid`、`getpgid`、`getpgrp`(返回ESRCH) - `sched_getaffinity`、`sched_getparam`等调度相关调用 - `pidfd_open`(返回ESRCH) **进程计数调整**:hook `sysinfo`系统调用,调整报告的总进程数,使其与实际可见进程数一致。 **子进程跟踪**:通过`sched_process_fork` tracepoint hook自动跟踪隐藏进程的子进程,确保整个进程树都被隐藏。 ### 3.2 文件系统隐藏 文件隐藏采用模式匹配机制,用户可以在`include/hiding_directory_def.h`中配置要隐藏的文件和目录模式。实现机制包括: **目录列表过滤**:与进程隐藏类似,hook `getdents`和`getdents64`过滤匹配模式的文件和目录。 **文件访问阻止**:hook `openat`系统调用,阻止对隐藏文件的访问尝试。 **目录切换阻止**:hook `chdir`系统调用,防止用户切换到隐藏目录。 **符号链接解析阻止**:hook `readlinkat`系统调用,阻止对隐藏文件符号链接的解析。 ### 3.3 网络连接隐藏 网络隐身是Singularity的亮点功能之一,它从多个层次隐藏网络连接: **/proc/net接口过滤**:hook `tcp4_seq_show`、`tcp6_seq_show`、`udp4_seq_show`、`udp6_seq_show`等函数,从`/proc/net/tcp`、`/proc/net/tcp6`、`/proc/net/udp`、`/proc/net/udp6`中过滤隐藏的连接。 **原始数据包过滤**:hook `tpacket_rcv`函数,在原始套接字层面丢弃与隐藏连接相关的数据包。 **连接跟踪过滤**:hook `read`系统调用,过滤`/proc/net/nf_conntrack`中的连接跟踪条目。 **Netlink消息过滤**:hook `recvmsg`系统调用,过滤SOCK_DIAG和NETFILTER netlink消息,这些消息被`ss`、`conntrack`等工具使用。 ### 3.4 日志清理机制 Singularity实现了全面的日志清理功能,从多个接口过滤敏感信息: **内核日志接口**: - `/proc/kmsg`:通过read hook过滤dmesg输出 - `do_syslog`:hook内核的syslog实现,过滤klogctl()输出 - `journalctl -k`:通过write hook过滤journald的内核日志输出 **系统日志文件**:通过read hook过滤`/var/log/kern.log`、`syslog`、`auth.log`等文件中的敏感内容。 **调试接口**:过滤`/sys/kernel/debug/tracing/*`、`/proc/kallsyms`、`/proc/kcore`、`/proc/vmallocinfo`等调试接口的输出。 过滤的关键词包括:`taint`、`journal`、`singularity`、`Singularity`、`matheuz`、`zer0t`、`kallsyms_lookup_name`、`obliviate`、`hook`、`hooked_`、`constprop`、`clear_taint`、`ftrace_helper`、`fh_install`、`fh_remove`等。 ### 3.5 权限提升机制 Singularity提供了两种权限提升方法: **环境变量触发**:设置`MAGIC=mtz`环境变量后执行bash,自动获得root权限。 **信号触发**:向进程发送信号59(`kill -59 `),触发权限提升。 权限提升的实现基于`commit_creds(prepare_kernel_cred(0))`,将当前进程的凭证设置为root凭证。 ## 4. ICMP触发反向shell与SELinux绕过 ### 4.1 ICMP触发机制 Singularity实现了一个隐蔽的远程访问机制:ICMP触发的反向shell。当收到特定的ICMP数据包时,rootkit会启动一个反向shell连接到攻击者控制的服务器。 实现要点: 1. **ICMP处理hook**:hook `icmp_rcv`函数,检查接收到的ICMP数据包 2. **触发条件**:特定的ICMP类型和代码组合 3. **自动隐藏**:反向shell进程自动被隐藏 4. **子进程跟踪**:shell创建的所有子进程自动被跟踪和隐藏 ### 4.2 SELinux绕过技术 在SELinux强制模式下,Singularity能够自动绕过SELinux限制: 1. **SELinux模式检测**:检查当前SELinux模式(强制、宽容、禁用) 2. **临时模式切换**:在ICMP触发时临时切换到宽容模式 3. **权限恢复**:执行完特权操作后恢复原始模式 4. **审计日志过滤**:过滤SELinux相关的审计消息 这种设计使得Singularity即使在严格的安全策略下也能执行特权操作。 ## 5. 反检测与自我保护 ### 5.1 eBPF检测阻止 Singularity通过hook `bpf`系统调用阻止eBPF-based检测工具: - `BPF_PROG_LOAD`:阻止tracepoint、kprobe、tracing、LSM等类型的eBPF程序加载 - `BPF_ITER_CREATE`、`BPF_PROG_GET_NEXT_ID`、`BPF_MAP_GET_NEXT_ID`:阻止eBPF迭代器和信息查询 - `BPF_RAW_TRACEPOINT_OPEN`、`BPF_LINK_CREATE`:阻止原始tracepoint和链接创建 - 所有来自隐藏进程的BPF操作都被阻止 ### 5.2 io_uring保护 io_uring是Linux的异步I/O接口,可能被用于绕过ftrace控制。Singularity通过hook `io_uring_enter`系统调用,并实现智能的PID缓存(1秒缓存)来防止io_uring bypass。 ### 5.3 模块加载阻止 通过hook `init_module`和`finit_module`系统调用,阻止新的内核模块加载,防止安全工具加载检测模块。 ### 5.4 自我隐藏机制 加载后,Singularity自动从以下位置隐藏自身: - `lsmod`输出 - `/proc/modules` - `/sys/module` - 内核taint标志被清除 ## 6. 性能优化与架构设计 ### 6.1 智能缓存机制 为了减少性能开销,Singularity实现了多个缓存机制: **PID缓存**:对频繁检查的操作(如io_uring保护)使用1秒的PID缓存,避免重复的进程扫描。 **连接跟踪缓存**:网络连接隐藏使用缓存来加速连接匹配。 **文件模式缓存**:文件隐藏模式被缓存以提高匹配速度。 ### 6.2 多版本内核支持 Singularity支持多个Linux 6.x内核版本,包括: - 6.8.0-79-generic(Ubuntu 22.04/24.04) - 6.12.0-174.el10.x86_64(CentOS Stream 10) - 6.12.48+deb13-amd64(Debian 13) - 6.17.8-300.fc43.x86_64(Fedora 43) - 6.17.0-8-generic(Ubuntu 25.10) 通过条件编译和版本检测,确保在不同内核版本上的兼容性。 ## 7. 安全影响与防御建议 ### 7.1 检测挑战 Singularity的先进设计给安全检测带来了多重挑战: 1. **内存完整性检查绕过**:不修改sys_call_table,传统的内存完整性检查可能失效 2. **行为隐蔽性**:全面的日志过滤和进程隐藏使行为分析困难 3. **网络隐身**:多层次的网络连接隐藏使网络监控失效 4. **反检测机制**:主动阻止eBPF和io_uring等检测工具 ### 7.2 防御建议 基于Singularity的技术特点,建议采取以下防御措施: **内核完整性监控**: - 监控ftrace配置的异常修改 - 检查内核函数指针的异常跳转 - 使用硬件支持的完整性测量(如TPM、Secure Boot) **行为异常检测**: - 监控进程计数的异常变化 - 检测网络连接统计的异常 - 分析系统调用模式的异常 **深度检测技术**: - 使用基于硬件的内存扫描 - 实施定期的离线内存分析 - 部署基于虚拟化的安全监控 **安全配置强化**: - 限制内核模块加载权限 - 启用SELinux强制模式并定期审计 - 配置严格的网络过滤规则 ## 8. 研究意义与伦理考量 Singularity作为一个开源研究项目,具有重要的安全研究价值: 1. **技术探索**:展示了现代rootkit可能达到的隐身水平 2. **防御演进**:推动安全社区开发更先进的检测技术 3. **教育价值**:为安全研究人员提供内核安全的学习资源 然而,必须强调伦理和法律边界: - 仅用于授权的安全研究和教育目的 - 在隔离的测试环境中使用 - 遵守相关法律法规和道德准则 ## 结论 Singularity代表了Linux内核rootkit技术的新高度,其基于ftrace的hook实现、全面的隐身功能和先进的反检测机制展示了现代恶意软件可能达到的复杂程度。对于安全研究人员来说,深入理解这类工具的实现机制是开发有效防御措施的前提。对于系统管理员和安全工程师,了解这些技术有助于更好地保护系统安全。 正如项目作者所言,Singularity的存在是为了回答"一个rootkit能隐藏到什么程度"的问题。这个问题的答案不仅关乎攻击技术,更关乎防御能力的持续演进。在攻防对抗的永恒循环中,只有不断深入理解对手的技术,才能构建更强大的防御体系。 **资料来源**: - [Singularity GitHub仓库](https://github.com/MatheuZSecurity/Singularity) - [Bypassing Elastic EDR with Singularity](https://matheuzsecurity.github.io/hacking/bypassing-elastic/) ## 同分类近期文章 ### [微软终止VeraCrypt账户:平台封禁下的供应链安全警示](/posts/2026/04/09/microsoft-terminates-veracrypt-account-platform-lock-risk/) - 日期: 2026-04-09T00:26:24+08:00 - 分类: [security](/categories/security/) - 摘要: 从VeraCrypt开发者账户被终止事件,分析Windows代码签名的技术依赖、平台封禁风险与开发者应对策略。 ### [GPU TEE 远程认证协议在机密 AI 推理中的工程实现与安全边界验证](/posts/2026/04/08/gpu-tee-remote-attestation-confidential-ai-inference/) - 日期: 2026-04-08T23:06:18+08:00 - 分类: [security](/categories/security/) - 摘要: 深入解析 GPU 可信执行环境的远程认证流程,提供机密 AI 推理场景下的工程参数配置与安全边界验证清单。 ### [VeraCrypt 1.26.x 加密算法演进与跨平台安全加固深度解析](/posts/2026/04/08/veracrypt-1-26-encryption-algorithm-improvements/) - 日期: 2026-04-08T22:02:47+08:00 - 分类: [security](/categories/security/) - 摘要: 深度解析 VeraCrypt 最新版本的核心加密算法改进、跨平台兼容性与安全加固工程实践,涵盖 Argon2id、BLAKE2s 及内存保护机制。 ### [AAA 游戏二进制混淆:自研加壳工具的工程现实与虚拟化保护参数](/posts/2026/04/08/binary-obfuscation-in-aaa-games/) - 日期: 2026-04-08T20:26:50+08:00 - 分类: [security](/categories/security/) - 摘要: 解析 AAA 级游戏二进制保护中的自研加壳工具、代码虚拟化性能开销与反调试实现的技术选型。 ### [将传统白帽黑客习惯引入氛围编程:构建 AI 生成代码的防御纵深](/posts/2026/04/08/old-hacker-habits-for-safer-vibecoding/) - 日期: 2026-04-08T20:03:42+08:00 - 分类: [security](/categories/security/) - 摘要: 将传统白帽黑客的安全实践应用于氛围编程,通过隔离环境、密钥管理与代码审计,为 AI 生成代码建立防御纵深,提供可落地的工程参数与清单。