Siber güvenlik araştırmacıları yeni bir Linux rootkit’i ortaya çıkardılar. ÜZGÜNÜM Bu, ayrıcalıkları artırma, dosya ve dizinleri gizleme ve kendisini sistem araçlarından gizlerken aynı zamanda tespit edilmekten kaçınma yetenekleriyle birlikte gelir.
Elastic Security Lab araştırmacıları Remco Sprooten ve Ruben Groenewoud Perşembe günü yayınlanan teknik bir raporda, “PUMAKIT, varlığını gizlemek ve komuta ve kontrol sunucularıyla iletişimi sürdürmek için gelişmiş gizli mekanizmalar kullanan, gelişmiş bir yüklenebilir çekirdek modülü (LKM) rootkit’idir.” dedi.
Şirketin analizi, bu Eylül ayı başlarında VirusTotal kötü amaçlı yazılım tarama platformuna yüklenen eserlerden geliyor.
Kötü amaçlı yazılımın dahili bileşenleri, “cron” adlı bir damlalık bileşeni, bellekte yerleşik iki yürütülebilir dosya (“/memfd:tgt” ve “/memfd:wpn”), bir LKM rootkit’i (“puma) içeren çok aşamalı bir mimariye dayanmaktadır. .ko”) ve Kitsune (“lib64/libs.so”) adı verilen paylaşılan bir nesne (SO) kullanıcı alanı rootkit’i içerir.
Ayrıca, çekirdek sistem davranışlarını değiştirmek ve hedeflerine ulaşmak için 18’e kadar farklı sistem çağrısına ve “prepare_creds” ve “commit_creds” gibi çeşitli çekirdek işlevlerine bağlanmak için dahili Linux işlev izleyicisini (ftrace) kullanır.
Araştırmacılar, “PUMA ile etkileşimde bulunmak için, ayrıcalık yükseltme için rmdir() sistem çağrısının kullanılması ve yapılandırma ve çalışma zamanı bilgilerinin çıkarılması için özel komutların kullanılması da dahil olmak üzere benzersiz yöntemler kullanılıyor” dedi.
“Aşamalı dağıtımı sayesinde LKM rootkit, yalnızca güvenli önyükleme kontrolleri veya çekirdek sembolü kullanılabilirliği gibi belirli koşullar karşılandığında etkinleştirilmesini sağlar. Bu koşullar, Linux çekirdeğinin taranmasıyla doğrulanır ve gerekli tüm dosyalar, ELF ikili dosyaları olarak içine gömülür. Damlalık.”
Yürütülebilir “/memfd:tgt”, herhangi bir değişiklik yapılmadan varsayılan Ubuntu Linux Cron ikili dosyasıdır, “/memfd:wpn” ise koşulların karşılandığını varsayarak rootkit için bir yükleyicidir. LKM rootkit’i ise kullanıcı alanından çaylakla etkileşim kurmak için kullanılan gömülü bir SO dosyası içeriyor.
Elastic, enfeksiyon zincirinin her aşamasının, kötü amaçlı yazılımın varlığını gizlemek ve rootkit’i serbest bırakmadan önce bellekte yerleşik dosyalardan ve özel kontrollerden yararlanmak için tasarlandığını belirtti. PUMAKİT bilinen herhangi bir tehdit aktörü veya grubuyla ilişkilendirilmemiştir.
Araştırmacılar, “PUMAKIT, sistem çağrısı kancalama, bellekte yerleşik yürütme ve benzersiz ayrıcalık yükseltme yöntemleri gibi gelişmiş teknikleri kullanan karmaşık ve gizli bir tehdittir. Çoklu mimari tasarımı, Linux sistemlerini hedef alan kötü amaçlı yazılımların artan karmaşıklığını vurgulamaktadır.”