A fost descoperit un nou malware Pumakit Linux rootkit
Sursă: https://www.bleepingcomputer.com
A fost detectat un nou malware rootkit Linux denumit Pumakit, care utilizează tehnici stealth și de escaladare avansată a privilegiilor pentru a-și ascunde prezența pe sisteme.
Malware-ul este un set cu mai multe componente care include un dropper, executabile rezidente în memorie, un rootkit de modul de kernel și un rootkit de userland cu obiecte partajate (SO).
Pumakit utilizează un proces de infectare în mai multe etape, începând cu un dropper denumit cron, care execută payload-uri integrate (/memfd:tgt și /memfd:wpn) în întregime din memorie.
Payload-ul /memfd:wpn, care se execută într-un proces secundar, efectuează verificări de mediu și manipularea imaginii kernelului și, în cele din urmă, instalează modulul rootkit LKM (puma.ko) în kernelul sistemului.
În rootkit-ul LKM este încorporat Kitsune SO (lib64/libs.so), care acționează ca rootkit userland și se injectează în procese utilizând LD_PRELOAD pentru a intercepta apelurile sistemului la nivelul utilizatorului.
Rootkit-ul urmărește o activare condițională, verificând simbolurile specifice ale kernel-ului, starea de boot securizat și alte condiții prealabile înainte de încărcare.
Puma utilizează funcția kallsyms_lookup_name() pentru a manipula comportamentul sistemului. Acest lucru indică faptul că rootkit-ul a fost conceput pentru a viza numai nucleele Linux anterioare versiunii 5.7, deoarece versiunile mai noi nu mai exportă funcția și, prin urmare, nu pot fi utilizate de alte module ale nucleului.
Puma utilizează 18 syscalls și mai multe funcții ale kernelului folosind ftrace, pentru a obține escaladarea privilegiilor, executarea de comenzi și capacitatea de a ascunde procese.
Funcțiile kernel prepare_creds și commit_creds sunt utilizate în mod abuziv pentru a modifica credențialele proceselor, acordând privilegii de root anumitor procese.
Rootkit-ul își poate ascunde propria prezență de jurnalele kernelului, de instrumentele de sistem și de antivirus și, de asemenea, poate ascunde anumite fișiere dintr-un director și obiecte din listele de procese.
Setul de rootkit userland Kitsune SO funcționează în strânsă colaborare cu Puma, extinzând mecanismele sale de sustragere și de control la interacțiunile cu utilizatorul.
Kitsune SO se ocupă, de asemenea, de toate comunicațiile cu serverul de comandă și control (C2), transmițând comenzi către rootkit-ul LKM și transmițând informații despre configurare și sistem către operatori.
Sursă: https://www.bleepingcomputer.com/news/security/new-stealthy-pumakit-linux-rootkit-malware-spotted-in-the-wild/
