Новый вредоносный руткит Pumakit для Linux

Исследователи из Elastic Security обнаружили новый вредоносный руткит для Linux под названием Pumakit, который обеспечивает скрытность и поддерживает продвинутые методы повышения привилегий для сокрытия своего присутствия в системах.

Вредоносное ПО представляет собой многокомпонентный набор, включающий в себя дроппер, исполняемые в памяти файлы, руткит модуля ядра и пользовательского пространства общего объекта (SO).

Задетектить находку исследователям удалось 4 сентября 2024 года в подозрительной двоичной загрузке («cron») на VirusTotal, кто ее использует и на что она нацелена пока не известно.

Pumakit реализует многоступенчатый процесс заражения, начинающийся с дроппера под названием cron, который выполняет встроенные полезные нагрузки (/memfd:tgt и /memfd:wpn) полностью из памяти.

Полезная нагрузка /memfd:wpn, которая выполняется в дочернем процессе, выполняет проверки среды и манипуляции с образом ядра и в конечном итоге развертывает модуль руткита LKM (puma.ko) в ядре системы.

В руткит LKM встроен Kitsune SO (lib64/libs.so), действующий как пользовательский руткит, который внедряется в процессы, используя LD_PRELOAD для перехвата системных вызовов на уровне пользователя.

Руткит выполняет условную активацию, проверяя определенные символы ядра, статус безопасной загрузки и другие предварительные условия перед загрузкой.

Elastic полагает, что Puma использует функцию kallsyms_lookup_name() для манипулирования поведением системы.

В отличие от современных руткитов, нацеленных на версии ядра 5.7 и выше, руткит не использует kprobes, что указывает на то, что он предназначен для старых ядер.

Puma перехватывает 18 системных вызовов и несколько функций ядра с помощью ftrace, чтобы получить повышение привилегий, выполнение команд и возможность скрывать процессы.

Функции ядра prepare_creds и commit_creds используются для изменения учетных данных процесса, предоставляя привилегии root определенным процессам.

Руткит может скрывать свое присутствие от журналов ядра, системных инструментов и антивирусов, а также может скрывать определенные файлы в каталоге и объекты из списков процессов.

Если перехваты прерываются, руткит повторно инициализирует их, гарантируя, что его вредоносные изменения не будут отменены, а модуль не сможет быть выгружен.

Пользовательский руткит Kitsune SO работает в синергии с Puma, распространяя свои механизмы скрытности и контроля на взаимодействия с пользователем.

Он перехватывает системные вызовы на уровне пользователя и изменяет поведение таких функций, как ls, ps, netstat, top, htop и cat, чтобы скрыть файлы, процессы и сетевые соединения, связанные с руткитом.

Он также способен динамически скрывать любые другие файлы и каталоги на основе критериев, определенных злоумышленником, и обеспечивать сокрытие вредоносных двоичных файлов от пользователей и системных администраторов.

Kitsune SO также обрабатывает все коммуникации с C2, передавая команды руткиту LKM и передавая конфигурацию и системную информацию операторам.

Помимо хэшей файлов, Elastic Security опубликовала правила YARA, которые помогут обнаруживать атаки Pumakit.

13.12.2024
https://t.me/true_secator/6538​