Netcrook Logo
👤 AGONY
🗓️ 17 Dec 2025  

المتسللون غير المرئيين: كيف يتفوق جذر كيت "Singularity" على دفاعات لينكس أمام الأعين

العنوان الفرعي: نوع جديد من جذر كيت على مستوى النواة يعيد كتابة قواعد التخفي السيبراني، ويترك المدافعين في حالة بحث يائس عن إجابات.

في عالم الجريمة السيبرانية المظلم، أفضل الهجمات هي تلك التي لا تراها قادمة أبداً. الآن، جذر كيت متطور لنظام لينكس يُدعى "Singularity" يضع معياراً جديداً للخفاء الرقمي، حيث يعمل بعمق داخل نظام التشغيل لدرجة أن حتى أفضل أدوات التحليل الجنائي تبقى عاجزة عن كشفه. وبينما يقوم باحثو الأمن بتحليل شيفرته، يُجبر المدافعون على مواجهة حقيقة مرعبة: طرق الكشف التقليدية أصبحت بسرعة بالية.

داخل Singularity: درس متقدم في التمويه الرقمي

Singularity ليس مجرد جذر كيت آخر - بل هو مخطط لعصر جديد من التجسس السيبراني. على عكس جذر كيت المستخدم في مستوى المستخدم، والذي يعمل على مستوى التطبيقات، يتغلغل Singularity مباشرة في النواة - قلب نظام لينكس. هذا الوصول العميق يسمح له بالتلاعب بسلوك النظام نفسه، وإخفاء العمليات والملفات والمجلدات وحتى الاتصالات الشبكية عن جميع أدوات المراقبة الرئيسية، من ps و netstat إلى أدوات قوية مثل rkhunter و chkrootkit.

تعتمد حيله التقنية على إطار عمل ftrace في لينكس، حيث يستخدمه Singularity لاعتراض وتصفية نداءات النظام مثل getdents و stat و tcp4_seq_show بهدوء. النتيجة: نشاط يختفي تماماً عن الأنظار مهما حاول المحللون البحث عنه.

لكن ما يميز Singularity حقاً هو نهجه في تنظيف السجلات ومكافحة التحليل الجنائي. يقوم الجذر كيت بمسح أي كلمات مفتاحية دالة - مثل "taint" أو اسمه نفسه - من سجلات النواة وسجلات النظام وواجهات التشخيص. حتى نداءات تسجيل النواة الأساسية - write و pwrite64 و io_uring_enter - يتم اعتراضها، مما يمنع المدافعين من الوصول إلى السجلات عبر أدوات مثل klogctl. هذا يعني أن حتى حلول الكشف والاستجابة المتقدمة (EDR)، التي تعتمد على سجلات النواة، تبقى في الظلام.

ولا يكتفي Singularity بإخفاء آثاره فقط. بل يمنع تحميل وحدات النواة الجديدة، ليغلق الباب أمام أدوات الأمان المنافسة. كما يحتوي على باب خلفي سري: غلاف عكسي يُفعّل عبر ICMP، يمنح المهاجمين وصولاً عن بُعد دون إثارة الإنذارات. وتواجه ميزاته المتقدمة في التهرب أطر تحليل السلوك مثل Tracee، مما يجعل الجذر كيت كابوساً حتى لأكثر فرق الدفاع استعداداً.

تم تطوير Singularity بواسطة الباحث الأمني ماثيوس ألفيس وأُصدر علنًا لأغراض البحث، وهو سلاح ذو حدين: أداة قيمة لفرق الاختبار الأحمر وتحذير جاد للمدافعين في كل مكان. وتوفر إتاحته العلنية فرصة لكل من الباحثين والخصوم لتعلم تقنياته.

مستقبل التخفي: هل أصبح المدافعون عاجزين؟

ظهور Singularity يكشف حقيقة غير مريحة: سباق التسلح بين المهاجمين والمدافعين يتصاعد. ومع قدرة جذر كيت الآن على التهرب ليس فقط من الأدوات الشائعة بل حتى من تحليلات سجلات النواة المتقدمة، يجب على المدافعين الابتكار - وإلا سيبقون في الظلام. ومع دفع حدود التخفي الرقمي إلى أبعد مدى، فإن الخطوة التالية ستكون لمن يجرؤ على إعادة التفكير في الكشف من الأساس.

ويكي كروك

  • جذر كيت: جذر كيت هو برمجية خبيثة متخفية تختبئ في الجهاز، وتسمح للمهاجمين بالتحكم السري في النظام وتفادي الكشف.
  • وحدة النواة (LKM): وحدة النواة (LKM) هي شيفرة تُحمّل في نواة نظام التشغيل أثناء التشغيل، لتوسيع وظائفه دون إعادة التشغيل، لكنها قد تشكل مخاطر أمنية إذا أسيء استخدامها.
  • ftrace: ftrace هي أداة في نواة لينكس لتتبع وتصحيح وظائف ونداءات النظام، وتساعد في تحليل الأداء واستكشاف الأخطاء ومراجعة أمان النظام.
  • klogctl: klogctl هو نداء نظام في لينكس لقراءة ومسح وتكوين سجلات النواة، ويساعد في مراقبة النظام وتصحيح الأخطاء من خلال الوصول إلى ذاكرة السجلات الدائرية للنواة.
  • ICMP: ICMP هو بروتوكول شبكي للإبلاغ عن الأخطاء والتشخيص، لكنه قد يُستغل لهجمات سرية مثل تفعيل جلسة غلاف عكسي.
Singularity Linux rootkit cyber-espionage
AGONY AGONY
Elite Offensive Security Commander
← Back to news