Istraživači sigurnosti u Elastic Security Labs otkrili su sofisticirani Linux maliciozni softver nazvan PUMAKIT, koji koristi napredne stealth tehnike i jedinstvene metode eskalacije privilegija kako bi održao postojanost na zaraženim sistemima.
PUMAKIT-ova višestepena arhitektura se sastoji od dropper-a, dva izvršna fajla rezidentna u memoriji, rootkita modula jezgra (LKM) koji se može učitati i rutkita za zajednički objekt.
Ova složena struktura omogućava maliciznom softveru da izvrši svoj teret samo kada su ispunjeni specifični kriteriji, osiguravajući prikrivenost i smanjujući vjerovatnoću otkrivanja.
Tokom rutinskog lova na prijetnje na VirusTotalu, istraživači iz Elastic Security Labs-a su naišli na sumnjivu binarnu datoteku po imenu cron.
Ova binarna datoteka je prvi put učitana 4. septembra 2024. godine, a u to vrijeme je registrovano 0 detekcija na više antivirusnih mehanizama. Ovaj nedostatak otkrivanja podstakao je trenutne sumnje u pogledu potencijalne prikrivenosti i maliciozne namjere binarne datoteke.
PUMAKIT lanac infekcije
Daljnjom istragom, tim je otkrio još jedan srodni artefakt, identifikovan kao /memfd:wpn (izbrisan), koji je također postavljen istog dana i na sličan način nije pokazao nikakve detekcije.
Prisustvo ove dvije binarne datoteke, obje izbjegavaju otkrivanje, ukazuje na sofisticiraniju operaciju malicioznog softvera.
Početna faza uključuje dropper pod nazivom “cron” koji kreira dva izvršna fajla rezidentna u memoriji: “ /memfd:tgt” i “/memfd:wpn ”.
Dok “ /memfd:tgt ” služi kao benigni Cron binarni fajl, “ /memfd:wpn ” djeluje kao učitavač rootkita, procjenjuje sistemske uslove i na kraju postavlja LKM rootkit.
Jedna od najistaknutijih karakteristika PUMAKIT-a je njegova upotreba sistemskog poziva rmdir() za eskalaciju privilegija, što je odstupanje od uobičajenije metode sistemskog poziva kill() koju koristi većina rootkita.
Ovaj nekonvencionalni pristup omogućava malicioznom softveru da dobije root privilegije unutar svog trenutnog procesa, što ga čini težim za otkrivanje i ublažavanje.
LKM rootkit, kojeg njegovi programeri nazivaju “PUMA”, koristi interni tragač Linux funkcija (ftrace) za spajanje 18 različitih sistemskih poziva i nekoliko funkcija kernela.
Ovo omogućava malicioznom softveru da manipuliše osnovnim sistemskim ponašanjem, uključujući skrivanje datoteka i direktorija, prikrivanje svog prisustva od sistemskih alata i implementaciju mjera protiv otklanjanja grešaka.
PUMAKIT također uključuje zajednički objektni fajl pod nazivom “Kitsune”, koji je odgovoran za određena ponašanja uočena u rootkit-u i igra ulogu u postizanju upornih i skrivenih mehanizama.
Sofisticirani dizajn malicioznih softvera proteže se na njegovu infrastrukturu za komandu i kontrolu (C2), pri čemu su istraživači identifikovali više C2 servera koji se koriste za komunikaciju.
Kako bi otkrili i spriječili PUMAKIT infekcije, Elastic Security Labs je razvio nekoliko EQL/ KQL pravila i YARA potpis.
Ove metode otkrivanja fokusiraju se na različite faze lanca izvršavanja malicioznog softvera, uključujući neuobičajena izvršenja deskriptora datoteke, sumnjiva izvršenja naredbi kroz kthreadd proces i pokušaje eskalacije privilegija pomoću naredbe rmdir.
Otkriće PUMAKIT-a naglašava rastuću sofisticiranost malicioznog softvera koji cilja na Linux sisteme .
Njegov multiarhitektonski dizajn, napredne prikrivene tehnike i jedinstvene metode eskalacije privilegija čine ga značajnom prijetnjom organizacijama koje koriste Linux okruženja.
Kako PUMAKIT nastavlja da se razvija, profesionalcima za sigurnost se savjetuje da implementiraju navedena pravila otkrivanja i održavaju budnost protiv ove skrivene i uporne prijetnje.
Izvor: CyberSecurityNews
