Новости PUMAKIT: новый убийца безопасности Linux, который почти невозможно обнаружить

NewsMaker

I'm just a script
Премиум
14,406
20
8 Ноя 2022
Даже опытные эксперты признают – борьба с этим руткитом напоминает игру в кошки-мышки.


9wv6yiv7mri0eekr0k6tnx7id7qn5yq8.jpg


Исследователи в области кибербезопасности выявили новый вредоносный руткит для Linux под названием PUMAKIT. Он способен скрывать своё присутствие, повышать привилегии и избегать обнаружения системными инструментами. Этот модуль загружаемого ядра ( LKM ) обладает сложными механизмами маскировки, что делает его серьёзной угрозой.

Для просмотра ссылки Войди или Зарегистрируйся Elastic Security Lab, данный руткит использует многоступенчатую архитектуру, включающую компонент-дроппер с именем «cron», два исполняемых файла в памяти («/memfd:tgt» и «/memfd:wpn»), LKM-руткит («puma.ko») и библиотеку Kitsune («lib64/libs.so») для работы в пользовательском пространстве. Эти элементы работают вместе, чтобы скрыть вредоносную активность.

Особенность PUMAKIT заключается в применении внутреннего трассировщика функций Linux (ftrace) для внедрения в 18 системных вызовов и изменения ключевых функций ядра, таких как «prepare_creds» и «commit_creds». Это позволяет руткиту изменять поведение системы и обеспечивать доступ к скрытым возможностям.

Модуль активируется только при выполнении определённых условий, таких как проверка безопасности загрузки или доступность символьных таблиц ядра. Эти условия проверяются путём сканирования ядра, причём все необходимые файлы встроены в дроппер в формате ELF.

Вредоносное ПО также использует нестандартные методы взаимодействия, включая вызов rmdir() для повышения привилегий. Эти функции обеспечивают дополнительную сложность обнаружения и блокировки PUMAKIT.

Каждый этап заражения тщательно скрыт: от использования файлов, хранящихся только во временной памяти, до выполнения ряда проверок перед запуском руткита. Инструменты анализа показали, что даже стандартные элементы, такие как «/memfd:tgt», основаны на обычном бинарном файле Cron Ubuntu, а «/memfd:wpn» служит загрузчиком руткита.

На текущий момент PUMAKIT не связывают с известными хакерскими группировками, но исследователи отмечают, что его сложная архитектура указывает на растущую изощрённость вредоносных программ для Linux. Эти разработки становятся всё более серьёзной угрозой для систем на этой платформе.
 
Источник новости
www.securitylab.ru

Похожие темы