Ανακαλύφθηκε ένα νέο rootkit Linux malware που ονομάζεται Pumakit και χρησιμοποιεί μυστικά και προηγμένες τεχνικές κλιμάκωσης προνομίων για να κρύψει την παρουσία του στα συστήματα.
Δείτε επίσης: Νέα τεχνική malware εκμεταλλεύεται το UIA των Windows
Το κακόβουλο λογισμικό είναι ένα σύνολο πολλών συστατικών που περιλαμβάνει έναν dropper, εκτελέσιμα αρχεία που κατοικούν στη μνήμη, ένα rootkit λειτουργικής μονάδας πυρήνα και ένα rootkit userland κοινόχρηστου αντικειμένου (SO).
Η Elastic Security ανακάλυψε το Pumakit malware σε μια ύποπτη δυαδική μεταφόρτωση («cron») στο VirusTotal, με ημερομηνία 4 Σεπτεμβρίου 2024, και ανέφερε ότι δεν είχε ορατότητα σχετικά με το ποιος το χρησιμοποιεί και τι στοχεύει. Γενικά, αυτά τα εργαλεία χρησιμοποιούνται από προηγμένους παράγοντες απειλών που στοχεύουν κρίσιμες υποδομές και εταιρικά συστήματα για κατασκοπεία, οικονομική κλοπή και διαταραχές.
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Most Innovative Robots of CES 2025
Το Pumakit malware χρησιμοποιεί μια διαδικασία μόλυνσης πολλαπλών σταδίων που ξεκινά με ένα dropper με το όνομα ‘cron‘, το οποίο εκτελεί τα ενσωματωμένα ωφέλιμα φορτία (‘/memfd:tgt‘ και ‘/memfd:wpn‘) εξ ολοκλήρου από τη μνήμη.
Το ωφέλιμο φορτίο ‘/memfd:wpn’, το οποίο εκτελείται σε μια θυγατρική διεργασία, εκτελεί ελέγχους περιβάλλοντος και χειρισμό εικόνας πυρήνα και τελικά αναπτύσσει τη λειτουργική μονάδα rootkit LKM (‘puma.ko’) στον πυρήνα του συστήματος.
Δείτε ακόμα: Το ZLoader malware χρησιμοποιεί την τεχνική DNS Tunneling
Ενσωματωμένο στο rootkit του LKM είναι το Kitsune SO (‘lib64/libs.so’), το οποίο ενεργεί ως το rootkit του userland που εγχέεται σε διεργασίες χρησιμοποιώντας το ‘LD_PRELOAD‘ για να παρακολουθεί κλήσεις συστήματος σε επίπεδο χρήστη.
Το rootkit ακολουθεί μια ενεργοποίηση υπό όρους, ελέγχοντας για συγκεκριμένα σύμβολα πυρήνα, ασφαλή κατάσταση εκκίνησης και άλλες προϋποθέσεις πριν από τη φόρτωση.
Η Elastic λέει ότι το Pumakit malware χρησιμοποιεί τη συνάρτηση ‘kallsyms_lookup_name()‘ για να χειριστεί τη συμπεριφορά του συστήματος. Αυτό υποδηλώνει ότι το rootkit σχεδιάστηκε για να στοχεύει μόνο πυρήνες Linux πριν από την έκδοση 5.7, καθώς οι νεότερες εκδόσεις δεν εξάγουν πλέον τη λειτουργία και επομένως, δεν μπορούν να χρησιμοποιηθούν από άλλες λειτουργικές μονάδες πυρήνα.
Το Pumakit malware συνδέει 18 syscalls και πολλαπλές λειτουργίες πυρήνα χρησιμοποιώντας «ftrace», για να αποκτήσει κλιμάκωση προνομίων, εκτέλεση εντολών και δυνατότητα απόκρυψης διεργασιών. Οι συναρτήσεις πυρήνα ‘prepare_creds’ και ‘commit_creds’ καταχρώνται για την τροποποίηση των διαπιστευτηρίων διεργασίας, παραχωρώντας δικαιώματα root σε συγκεκριμένες διεργασίες.
Το rootkit μπορεί να κρύψει τη δική του παρουσία από αρχεία καταγραφής πυρήνα, εργαλεία συστήματος και εργαλεία προστασίας από ιούς και μπορεί επίσης να κρύψει συγκεκριμένα αρχεία σε έναν κατάλογο και αντικείμενα από λίστες διεργασιών.
Δείτε επίσης: Hackers χρησιμοποιούν fake εφαρμογές τηλεδιάσκεψης για διανομή του Realst Malware
Το κακόβουλο λογισμικό, γνωστό και ως malware, αναφέρεται σε κακόβουλες εφαρμογές και κακόβουλους κώδικες που σχεδιάστηκαν για να προκαλέσουν ζημιές ή να παραβιάσουν την ασφάλεια των συστημάτων υπολογιστών. Αυτό το είδος λογισμικού μπορεί να περιλαμβάνει ιούς, spyware, trojans, ransomware και πολλά άλλα. Το κακόβουλο λογισμικό είναι μια σοβαρή απειλή για την ασφάλεια των υπολογιστών και την προστασία των δεδομένων μας. Είναι σημαντικό να εγκαταστήσουμε αξιόπιστο λογισμικό ασφαλείας, να ενημερώνουμε τα συστήματά μας με τις τελευταίες ενημερώσεις και να είμαστε προσεκτικοί με την ανοικτή παραλαβή αρχείων και την περιήγηση στον ιστότοπο.
Πηγή: bleepingcomputer