SPiCa是一个基于eBPF的内核级Rootkit检测引擎，使用Rust编写，具备双通道监测机制，有效抵御软件攻击。其核心在于直接读取内核内存，并结合硬件防护，确保系统安全。

趋势科技发现攻击者利用思科SNMP漏洞（CVE-2025-20352）在老旧交换机上植入Linux rootkit，实现远程控制和持久化访问。攻击者通过设置通用密码和修改内存绕过认证并隐藏行踪。思科已发布安全公告，建议禁用不必要的SNMP服务并升级固件。

“零舞会”攻击活动利用Cisco SNMP漏洞（CVE-2025-20352），通过Linux rootkit控制网络设备。攻击者通过特制数据包触发缓冲区溢出，实现远程代码执行，主要针对旧版Cisco交换机。建议企业修补漏洞、限制SNMP访问并隔离遗留设备，以应对潜在威胁。

团队在处理恶意远控事件时，发现netstat与busybox结果不一致，怀疑存在Rootkit。经过排查库文件劫持和DNS告警，最终定位到被替换的netstat文件，发现并清除恶意行为。

FlipSwitch是一种新型Linux内核rootkit，利用内核6.9版本的系统调用分发机制漏洞，植入隐蔽钩子。它通过清除内存写保护和重定向系统调用，确保隐蔽性和持久性。这一技术凸显了内存完整性监控和内核安全机制不断演进的必要性。

chkrootkit是一款Linux系统的rootkit检查工具，通过扫描特定文件和网络活动，检测系统是否被植入木马或后门。rootkit分为文件级和内核级，前者通过替换系统文件隐蔽入侵，后者控制系统内核。定期使用chkrootkit可确保系统安全。

Rootkits是一种恶意软件，旨在隐蔽自身及其活动，控制受感染系统。它们通过修改操作系统行为来隐藏恶意进程、文件和网络连接，确保攻击者持续访问。Rootkits主要用于窃取信息、建立僵尸网络和进行间谍活动。防范措施包括定期更新系统、使用安全软件和保持警惕。

一款基于Rust语言的新型内核模块发布，专门用于检测Rootkit，显著提升了对抗复杂Linux恶意软件的能力。该模块通过暴力扫描内核模块地址空间，成功识别隐藏的Rootkit，标志着Linux安全工具的重大进步。

Linux rootkit是一种恶意软件，旨在隐藏其存在并提供未经授权的系统访问。分为内核态和用户态，常用手段包括动态链接库注入、ptrace系统调用和替换系统工具。检测方法包括检查LD_PRELOAD环境变量和配置文件。

文章介绍了可加载内核模块（LKM）的基本概念和应用，包括从简单模块到LKM rootkit的创建。LKM用于扩展Linux内核功能，如添加驱动程序。文章详细说明了LKM的编写、加载过程及其在不同内核版本中的变化，特别是5.7版本的安全改进。此外，还介绍了用于进程监控的LKM模块和rootkit的基本实现。

1. 朝鲜黑客利用Chrome零日漏洞部署Rootkit。2. Voldemort恶意软件通过谷歌工作表攻击全球70多家企业。3. 马来西亚国家基建遭勒索攻击，泄露超300GB数据。4. 巴西广告欺诈网络每日竞价请求数超过20亿次。5. 美国CISA将Google Chromium V8漏洞添加到已知利用漏洞目录中。

微软安全团队公布了 CVE-2023-32369 漏洞的细节，该漏洞可以绕过苹果的完整性保护最终达到安装 rootkit 的目的。攻击者可以滥用 macOS 迁移助手绕过 SIP 机制，不需要物理接触设备并重启进入 Recovery 模式。苹果已在最新版本中对该漏洞进行修复。

2022 上半年中国 IT 安全服务市场厂商整体收入约为 12.25 亿美元。

研究人员发现，臭名昭著的朝鲜黑客组织 Lazarus 部署了新的 Windows Rootkit，该恶意软件利用了戴尔驱动程序的漏洞。

这篇题目为Return-Oriented Rootkits: Bypassing Kernel Code Integrity Protection Mechanisms的论文发在了今年的Usenix...