Sparizione: L’ascesa di Singularity, il rootkit Linux che acceca i difensori
Una nuova generazione di rootkit stealth sta riscrivendo le regole della difesa Linux, superando anche gli strumenti di rilevamento più avanzati grazie a un’elusione chirurgica dei log.
Nel gioco del gatto e del topo della difesa informatica, un nuovo avversario è entrato in scena-uno che non si limita a nascondersi nell’ombra, ma le cancella del tutto. Ecco Singularity, un rootkit del kernel Linux progettato non solo per eludere, ma per annullare gli stessi strumenti su cui fanno affidamento i difensori. Con il suo recente aggiornamento per l’elusione dei log, Singularity sta fissando un nuovo standard di invisibilità sui sistemi Linux moderni-e sta facendo scattare l’allarme nella comunità DFIR (Digital Forensics and Incident Response).
Il nemico invisibile
Singularity si presenta come il “boss finale” per i difensori Linux-un’affermazione che, per molti, è inquietantemente vicina alla realtà. A differenza della maggior parte dei rootkit, che si concentrano sul nascondere file o processi, il nuovo trucco di Singularity è la sanitizzazione attiva dei log. Intercettando i log di sistema e kernel alla fonte, impedisce che qualsiasi menzione della propria presenza-o di quella dei suoi operatori-raggiunga lo user space. Questo significa che gli analisti di sicurezza che utilizzano strumenti come dmesg, journalctl o qualsiasi programma basato su klogctl non vedranno nulla di sospetto, anche quando il rootkit è in piena attività.
La magia tecnica non si ferma qui. Singularity opera a livello di kernel, agganciandosi a syscall e funzioni di base tramite ftrace. Una volta caricato, è bloccato-la rimozione richiede un riavvio completo del sistema. Si nasconde attivamente dalle liste dei moduli, cancella le proprie tracce da /proc e può occultare interi alberi di processi, file e connessioni di rete, tutto in base a pattern definiti dall’operatore.
Cecità difensiva
L’elusione dei log è solo una delle armi nell’arsenale di Singularity. Blocca i tentativi di osservare l’attività del kernel tramite eBPF, ftrace e io_uring, neutralizzando strumenti di sicurezza popolari come Tracee, bpftrace e vari EDR (Endpoint Detection and Response). Anche il monitoraggio di rete viene vanificato: il rootkit può filtrare il traffico, nascondere porte e avviare una reverse shell tramite ICMP per un accesso remoto occulto.
L’escalation dei privilegi è integrata, permettendo agli attaccanti di diventare root impostando una variabile d’ambiente segreta o inviando un segnale appositamente costruito. Tutti questi meccanismi sono personalizzabili, rendendo quasi impossibile il rilevamento basato su firme.
Lezioni dure per i difensori
Le implicazioni sono nette. Casi di studio mostrano già Singularity bypassare i principali prodotti EDR, e la sua rapida evoluzione evidenzia la corsa agli armamenti tra attaccanti e difensori. Sebbene l’autore ammetta che nessun rootkit sia davvero impossibile da rilevare, la capacità di Singularity di alterare i log, neutralizzare l’osservabilità e persistere attraverso i riavvii impone ai difensori di ripensare le proprie strategie. Affidarsi ai log tradizionali o al rilevamento in user space non basta più-le minacce a livello kernel richiedono vigilanza a livello kernel.
Mentre Linux continua ad alimentare infrastrutture critiche in tutto il mondo, l’emergere di Singularity è un campanello d’allarme. Le ombre si fanno più profonde, ma la caccia a ciò che vi si nasconde è appena iniziata.
WIKICROOK
- Rootkit: Un rootkit è un malware stealth che si nasconde su un dispositivo, permettendo agli attaccanti di controllare il sistema in segreto ed eludere il rilevamento.
- klogctl: klogctl è una chiamata di sistema Linux per leggere, cancellare e configurare i log del kernel, utile per il monitoraggio e il debug del sistema tramite l’accesso al ring buffer del kernel.
- eBPF: eBPF è una tecnologia del kernel Linux per eseguire programmi sicuri e isolati, abilitando funzionalità avanzate di monitoraggio, tracciamento e sicurezza senza modifiche al kernel.
- ftrace: ftrace è uno strumento del kernel Linux per tracciare e fare debug di funzioni e chiamate di sistema, utile per analizzare le prestazioni, risolvere problemi e verificare la sicurezza del sistema.
- EDR: Gli strumenti EDR rilevano, investigano e rispondono alle minacce sugli endpoint, offrendo sicurezza in tempo reale e risposta rapida agli incidenti per le organizzazioni.




