Elastic Security Labs’taki güvenlik araştırmacıları, virüslü sistemlerde kalıcılığı sürdürmek için gelişmiş gizlilik teknikleri ve benzersiz ayrıcalık yükseltme yöntemleri kullanan PUMAKIT adlı karmaşık bir Linux kötü amaçlı yazılımını ortaya çıkardı.
PUMAKIT’in çok aşamalı mimarisi bir damlalık, iki bellekte yerleşik yürütülebilir dosya, bir yüklenebilir çekirdek modülü (LKM) kök takımı ve bir paylaşılan nesne kullanıcı alanı kök takımından oluşur.
Bu karmaşık yapı, kötü amaçlı yazılımın yükünü yalnızca belirli kriterler karşılandığında yürütmesine olanak tanıyarak gizliliği garanti eder ve tespit edilme olasılığını azaltır.
VirusTotal’da rutin tehdit avı sırasında, Elastic Security Labs’tan araştırmacılar cron adında şüpheli bir ikili dosyayla karşılaştı.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
Bu ikili program ilk olarak 4 Eylül 2024’te yüklendi ve o dönemde birden fazla antivirüs motorunda kayda değer şekilde 0 tespit kaydedildi. Bu tespit eksikliği, ikili sistemin potansiyel gizliliği ve kötü niyetli olduğu konusunda anında şüphelere yol açtı.
PUMAKIT Enfeksiyon Zinciri
Daha ayrıntılı incelemenin ardından ekip, şu şekilde tanımlanan başka bir ilgili eser keşfetti: /memfd:wpn (silindi), bu da aynı gün yüklendi ve benzer şekilde hiçbir tespit görülmedi.
Her ikisi de tespit edilmekten kaçan bu iki ikili dosyanın varlığı, daha karmaşık bir kötü amaçlı yazılım operasyonuna işaret ediyordu.
İlk aşama, bellekte yerleşik iki yürütülebilir dosya oluşturan “cron” adlı bir damlalık içerir: “/memfd:tgt” ve “/memfd:wpn“.
Sırasında “/memfd:tgt” iyi huylu bir Cron ikilisi olarak hizmet eder, “/memfd:wpn” bir rootkit yükleyicisi olarak görev yapar, sistem koşullarını değerlendirir ve sonuçta LKM rootkit’i dağıtır.
PUMAKIT’in en dikkate değer özelliklerinden biri, çoğu rootkit tarafından kullanılan daha yaygın kill() sistem çağrısı yönteminden farklı olarak, ayrıcalık yükseltme için rmdir() sistem çağrısını kullanmasıdır.
Bu alışılmadık yaklaşım, kötü amaçlı yazılımın mevcut süreci içerisinde kök ayrıcalıkları elde etmesine olanak tanıyarak tespit edilmesini ve azaltılmasını zorlaştırır.
Geliştiricileri tarafından “PUMA” olarak adlandırılan LKM rootkit, 18 farklı sistem çağrısını ve çeşitli çekirdek fonksiyonlarını bağlamak için dahili bir Linux fonksiyon izleyicisi (ftrace) kullanır.
Bu, kötü amaçlı yazılımın, dosyaları ve dizinleri gizlemek, varlığını sistem araçlarından gizlemek ve hata ayıklamayı önleyici önlemler uygulamak dahil olmak üzere çekirdek sistem davranışlarını değiştirmesine olanak tanır.
PUMAKIT ayrıca rootkit’te gözlemlenen belirli davranışlardan sorumlu olan ve kalıcılık ve gizlilik mekanizmalarının elde edilmesinde rol oynayan “Kitsune” adında paylaşılan bir nesne dosyası da içerir.
Kötü amaçlı yazılımın gelişmiş tasarımı, komuta ve kontrol (C2) altyapısına kadar uzanıyor ve araştırmacılar, iletişim için kullanılan birden fazla C2 sunucusunu tespit ediyor.
PUMAKIT enfeksiyonlarını tespit etmek ve önlemek için Elastic Security Labs çeşitli EQL/KQL kuralları ve bir YARA imzası geliştirmiştir.
Bu tespit yöntemleri, olağandışı dosya tanımlayıcı yürütmeleri, kthreadd süreci aracılığıyla şüpheli komut yürütmeleri ve rmdir komutunu kullanarak ayrıcalık yükseltme girişimleri dahil olmak üzere, kötü amaçlı yazılımın yürütme zincirinin çeşitli aşamalarına odaklanır.
PUMAKIT’in keşfi, Linux sistemlerini hedef alan kötü amaçlı yazılımların giderek daha karmaşık hale geldiğini ortaya koyuyor.
Çoklu mimari tasarımı, gelişmiş gizlilik teknikleri ve benzersiz ayrıcalık yükseltme yöntemleri, onu Linux ortamlarını kullanan kuruluşlar için önemli bir tehdit haline getiriyor.
PUMAKIT gelişmeye devam ederken, güvenlik profesyonellerine sağlanan tespit kurallarını uygulamaları ve bu gizli ve kalıcı tehdide karşı dikkatli olmaları tavsiye ediliyor.
Elastic Security Labs, savunucuları bu karmaşık kötü amaçlı yazılımın potansiyel yeni varyantları veya güncellemeleri konusunda bilgilendirmek ve hazırlıklı tutmak için PUMAKIT’in sürekli analizini ve izlenmesini taahhüt etmiştir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin