Son aylarda, gizli ve son derece gelişmiş bir Linux rootkit’i piyasaya sürüldü. göz kırpma telekomünikasyon, finans ve ulusal güvenlik gibi kritik altyapı sektörlerini hedef aldığı belirlendi.
Elastic Security Labs tarafından keşfedilen Pumakit, tarihsel olarak diğer işletim sistemlerinden daha güvenli olduğu düşünülen, Linux ortamlarına özel olarak tasarlanmış gelişmiş kötü amaçlı yazılımlarda büyüyen bir eğilimi temsil ediyor.
Pumakit, karmaşık kaçırma teknikleri kullanıyor ve çekirdek düzeyinde çalışıyor, bu da onu Linux tabanlı sistemlere güvenen kuruluşlar için endişe verici bir tehdit haline getiriyor. Tespit edilmemek için gelişmiş yöntemlerden yararlanarak, modern siber tehditlerin giderek artan karmaşıklığını ortaya koyuyor.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Pumakit’in Teknik Dağılımı
Pumakit, tespitten kaçınırken kötü amaçlı operasyonlar yürütmek için çekirdek düzeyindeki işlemleri hedef alarak sisteme derinlemesine sızmak üzere tasarlanmıştır. Aşağıda temel özellikleri verilmiştir:
Pumakit, tespit edilmekten kaçınmak ve ele geçirilen sistemler üzerinde kontrolü sürdürmek için gelişmiş teknikler kullanır.
SOCRadar analizine göre, çekirdek düzeyindeki sistem çağrılarını değiştirerek dosya ve ağ etkinliklerini gizleyerek bunları geleneksel izleme araçlarına görünmez hale getiriyor.
Doğrudan çekirdeğe gömülü olan Pumakit, uzun vadeli erişim için sistem yeniden başlatıldıktan sonra bile kontrolü koruyarak kalıcılık sağlar.
Ayrıca, kötü niyetli faaliyetlerin kanıtlarını silmek için sistem kayıt araçlarına da müdahale ederek adli soruşturmaları karmaşık hale getirir.
Veri hırsızlığını kolaylaştıran ve saldırganlara kalıcı bir arka kapı sağlayan Pumakit, güvenliği ihlal edilmiş sistemlere sürekli erişim sağlar.
Ek olarak, güvenlik araçlarını devre dışı bırakır ve süreçlerini gizleyerek, yüksek düzeyde izlenen ortamlarda bile tespit ve analizi zorlaştırır.
Kuruluşlar, Pumakit ile bağlantılı uzlaşma göstergeleri (IoC) için sistemlerini aktif olarak izlemelidir.
Temel göstergeler arasında beklenmedik özniteliklere veya adlara sahip olağandışı çekirdek düzeyindeki modüller, sistem çağrı işleyicilerinde beklenmeyen değişiklikler ve algılama araçlarını atlayan gizli dosyalar, işlemler veya ağ bağlantıları yer alır.
IP 89.23.113.204’e veya aşağıdaki gibi alanlara yönelik şüpheli trafik rhel.opsecurity1.art gibi kötü amaçlı dosya karmalarının varlığı da alarm vermelidir. 4375998ea157a8a21e1ead13052bad8a veya 810f4b422b9c0a6718e9461de3a2edda.
Pumakit’in karmaşık taktiklerini azaltmak için kuruluşların belirli stratejiler uygulaması gerekiyor. Dinamik bağlayıcının ele geçirilmesi (T1574.006) için güçlü uygulama denetiminin kötü amaçlı kitaplıkları engellemesi gerekir.
İşlem enjeksiyonuna (T1055) karşı koymak için güvenlik araçlarının bu tür etkinlikleri tespit edecek ve önleyecek şekilde yapılandırılması gerekir. Erişimi güvence altına almak ve varsayılan hesapların kötüye kullanılmasını önlemek için çok faktörlü kimlik doğrulamanın (MFA) zorunlu kılınması önemlidir (T1078.001).
Son olarak, izinlerin kısıtlanması, güvenlik ayarlarına müdahale edilmesinin önlenmesine yardımcı olabilir, böylece devre dışı bırakılan güvenlik araçlarına karşı savunmalar zarar görebilir (T1562.001).
Önerilen Savunma Önlemleri
- Sistem Sertleştirme: Güvenlik açıklarını ortadan kaldırmak için düzenli olarak güvenlik yamaları ve güncellemeleri uygulayın.
- Erişim Yönetimi: Yönetici erişimini sınırlayın ve katı hesap politikaları uygulayın.
- Davranışsal İzleme: Anormallikleri erken tespit etmek için sürekli izleme araçlarını kullanın.
- Olay Müdahale Planları: Rootkit enfeksiyonlarına hızla yanıt vermek için güçlü protokoller hazırlayın.
Elastic Security Labs, kuruluşların Pumakit enfeksiyonlarını tespit etmesine yardımcı olmak için bir YARA Kuralı yayınladı. Kural, kötü amaçlı dizeleri, dosya yapıtlarını ve rootkit ile ilişkili IP adreslerini tarar.
Temel göstergeler arasında “PUMA %s”, “opsecurity1.art” gibi dizeler ve şüpheli ana bilgisayar yer alıyor 89.23.113.204.
Pumakit, gelişmiş siber tehditlerin oluşturduğu tehlikeleri net bir şekilde hatırlatıyor. Çekirdek düzeyinde erişimden yararlanan ve gelişmiş kaçınma tekniklerini kullanan bu rootkit, kritik altyapı savunucuları için zorlu bir mücadele haline geldi.
Proaktif stratejiler, sürekli izleme ve gelişmiş tehdit istihbaratı platformları, Pumakit gibi tehditleri etkili bir şekilde tespit etmek ve azaltmak için gereklidir.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri