~106KB
El antivirus que no puede ser explotado — porque no hereda nada.
Agente de seguridad bare-metal de 106KB con 5 capas de detección, integridad SHA-256 y defensa activa. Zero dependencias. Detecta malware renombrado. Mata amenazas en 0ms.
LinuxEl problema
Los agentes de seguridad endpoint actuales (CrowdStrike, SentinelOne) pesan 300-500MB, consumen cientos de MB de RAM, y heredan cientos de CVEs de sus cadenas de dependencias. En julio 2024, una actualización de CrowdStrike crashó 8.5 millones de máquinas en todo el mundo — aerolíneas, bancos, hospitales — causando $5.4B en daños. Peor aún, los atacantes evaden la detección basada en firmas simplemente renombrando su malware. Las herramientas que deberían proteger la infraestructura se han convertido en el mayor riesgo.
La solucion
OmniShield es un agente de seguridad de 106KB compilado desde un lenguaje bare-metal propietario. Usa 5 capas de detección: firmas en ruta exe vía symlinks del kernel (inmune a spoofing de nombres), matching de patrones en cmdline, hashing SHA-256 de binarios ELF (detecta malware renombrado), detección de ataques fileless LD_PRELOAD, y análisis comportamental de anomalías de CPU. Monitorea procesos, red, conexiones salientes, filesystem (inotify) y logs de auth en tiempo real — todo via syscalls directas de Linux. 41 firmas expandibles, autenticación configurable, logging persistente con rotación, integración Syslog UDP, watchdog de integridad, y auto-actualización con verificación criptográfica. Un dashboard web embebido muestra eventos, acciones de defensa y estado del sistema en tiempo real.
Por Qué Bare-Metal Importa
Un binario de 106KB con cero dependencias tiene una superficie de ataque matemáticamente menor que un agente de 500MB con cientos de librerías. No hay librerías compartidas que hookear, no hay runtime que explotar, no hay supply chain que comprometer. Un atacante que compromete libc o LD_PRELOAD puede cegar a CrowdStrike y Wazuh — pero no a OmniShield, porque OmniShield no usa libc. Habla directo con el kernel. No hay intermediario que interceptar.
Especificaciones Técnicas
| Característica | Valor |
|---|---|
| Binary Size | ~106KB (x86_64) / ~119KB (ARM64) |
| RAM Usage | <2MB |
| Dependencies | None — zero libraries, zero runtime |
| Architecture | x86_64 + ARM64, direct Linux syscalls |
| Detection Layers | 5 — exe path signatures, cmdline signatures, ELF hash analysis, LD_PRELOAD fileless, behavioral CPU |
| Signatures | 41 patterns (expandable via /etc/omnishield/signatures.conf) |
| API | HTTP on port 7070, configurable Basic Auth, CORS, rate limiting (5 req/s) |
| Dashboard | Embedded HTML/CSS/JS — served from the binary itself |
| Event Loop | epoll — multiplexed I/O, 2-second scan interval |
| Monitors | Processes, CPU behavior, Network, Outbound connections, Filesystem (inotify), Auth logs |
| Active Defense | Auto-kill malicious processes (SIGKILL, 0ms response) with kill verification |
| Integrity | SHA-256 binary self-hash (NIST-verified), periodic watchdog, tamper alerts |
| Logging | Persistent file logging with 10MB rotation + Syslog UDP (RFC 3164) |
| Auto-Update | HTTP download + SHA-256 verification + atomic binary swap |
Comparación
| OmniShield | CrowdStrike Falcon | SentinelOne | |
|---|---|---|---|
| Agent size | 106KB | ~500MB | ~300MB |
| RAM per endpoint | <2MB | 200-500MB | 150-400MB |
| Dependencies | 0 | Hundreds | Hundreds |
| Inherited CVEs | 0 | Hundreds | Hundreds |
| Detection layers | 5 (signatures + hash + behavioral + fileless) | Cloud ML | Cloud ML |
| Renamed malware detection | Yes (ELF hash analysis) | Partial | Partial |
| Active defense | Auto-kill (0ms) | Quarantine | Quarantine |
| Can crash the OS | No (no kernel hooks) | Yes (July 2024) | Possible |
| Supply chain risk | Zero | High | High |
| SIEM integration | Syslog UDP + file logs | Proprietary cloud | Proprietary cloud |
| Self-integrity check | SHA-256 watchdog (60s) | None | None |
| Embedded dashboard | Yes (in binary) | Cloud console | Cloud console |
Casos de Uso
Protección de Servidores Cloud
Despliega un agente de 106KB en cada VPS, droplet o instancia EC2. 5 capas de detección monitorean procesos, anomalías de CPU, puertos abiertos, conexiones salientes e integridad de archivos. El hashing SHA-256 de binarios detecta malware renombrado que evade todas las herramientas basadas en firmas. Usa menos de 2MB de RAM.
Detección de Crypto Mining
Detecta minería via 41 firmas (xmrig, kinsing, ethminer...), análisis de hash ELF (detecta mineros renombrados), Y análisis comportamental de CPU — sin firma necesaria. Mata amenazas automáticamente en 0ms. Logging persistente y Syslog UDP para auditoría.
Detección de Intrusiones
Monitorea /etc, /usr/bin, /etc/ssh vía inotify para modificaciones no autorizadas. Detecta reverse shells, callbacks C2, nuevos puertos, fuerza bruta SSH y ataques fileless LD_PRELOAD. Rastrea conexiones salientes para identificar tráfico C2. Watchdog de integridad re-hashea su propio binario cada 60 segundos.
Seguridad para Hosting / MSP
Solución white-label para proveedores de hosting y seguridad gestionada. Un agente por servidor, credenciales configurables por cliente, auto-actualización con verificación SHA-256. Dashboard embebido por endpoint — sin consola cloud necesaria. Integración Syslog para SIEM centralizado.
Novedades
- + Motor de deteccion de 5 capas: firmas en ruta exe, firmas en cmdline, analisis de hash ELF, deteccion fileless LD_PRELOAD
- + Deteccion por hash ELF: SHA-256 de binarios en /tmp, /dev/shm, /var/tmp — detecta malware renombrado que evade todas las herramientas basadas en firmas
- + readlink(/proc/PID/exe): lee el symlink real del kernel — inmune a spoofing con prctl
- + Deteccion de ataques fileless LD_PRELOAD: escanea /proc/PID/environ para inyeccion de librerias, con filtrado inteligente para /usr, /snap, /lib
- + 41 firmas expandibles desde /etc/omnishield/signatures.conf (criptomineros, reverse shells, rootkits, herramientas de exploit)
- + Implementacion SHA-256 pura en OmniOS, verificada contra NIST — hash del binario al arrancar + watchdog de integridad periodico
- + Autenticacion configurable: lee credenciales de /etc/omnishield/config, codifica en base64 al iniciar
- + Rate limiting HTTP: 5 requests/segundo, responde 429 Too Many Requests
- + Logging persistente en /var/log/omnishield/ con rotacion automatica a 10MB
- + Salida Syslog UDP (RFC 3164) — integrable con cualquier SIEM
- + Sistema de auto-actualizacion: descarga HTTP + verificacion SHA-256 + swap atomico del binario
- + Deteccion de privilegios root: avisa si no puede matar procesos, verifica codigos de retorno de kill()
- + Watchdog de autoproteccion: re-hashea su propio binario cada 60 segundos, alerta CRITICAL si es alterado
- + Intervalo de scan reducido de 5s a 2s — ventana de deteccion mas ajustada
- + Compilacion cruzada ARM64 (binario de 119KB, verificado bajo QEMU)
- + Binario de ~106KB, cero dependencias, cero falsos positivos en pruebas
Probar Ahora — Gratis
Obtener el binario
Gratis por siempre para self-hosted. Sin tarjeta. Descarga instantanea.
Linux ELF x86_64 Instrucciones
- 1.chmod +x ./omnishield-linux
- 2.sudo ./omnishield-linux
- 3.Abrir http://IP_SERVIDOR:7070 (auth: admin / omnishield)
Proximamente
Proximamente