新Rootkit预警，针对 Arch Linux (6.10.2-arch1-1 x86_64) 的复杂 rootkit

GitHub上Rootkit代码的出现将开启与黑客的新一轮对抗。

Gen Threat Labs 的研究人员 发现了 一种新的复杂 Snapekit rootkit，其目标是 x86_64 架构上的 Arch Linux 版本 6.10.2-arch1-1。Snapekit 允许攻击者在不被发现的情况下获得对系统的未经授权的访问和控制。

Rootkit 渗透操作系统，拦截并修改 21 个系统调用（应用程序与操作系统内核之间的通信机制）。Snapekit 使用特殊的滴管进行部署。该rootkit能够识别并避开流行的分析和调试工具，例如Cuckoo Sandbox、JoeSandbox、Hybrid-Analysis、Frida、Ghidra和IDA Pro。当检测到其中一种工具时，Snapekit 会更改其行为以避免检测。

Snapekit 的主要目标是通过保留在用户空间而不是更受控制的内核空间来隐藏恶意代码。这种方法使威胁检测和分析变得非常复杂。此外，rootkit 使用 PTrace 保护机制来检测调试尝试，这增加了分析师和信息安全专家的复杂性。

Snapekit具有多层规避工具，不仅可以避开自动化分析工具（沙箱和虚拟机），而且还使手动分析变得困难。Rootkit 的创建者 Humzak711 计划很快在 GitHub 上发布开源 Snapekit 项目。

Snapekit 强大的安全机制包括代码混淆、反调试技术和运行时检测。这些功能使 Rootkit 从其他恶意软件中脱颖而出。鼓励安全专业人员使用先进的沙箱、调试器旁路技术和协作分析平台来准备更复杂的分析环境，以应对新的威胁。

fdee2e34212170af59a95701317f220e9bdedfd8ee579bc485e0534410da42e7

2600eb7673dddacda0e780bf3b163b0b89b41f9925eebbd2a2b3dfa234bc1a22

1️⃣ Snapekit 通过一个在用户空间中分发的投放器来检测各种分析和调试工具，如 Cuckoo、JoeSandbox、Hybrid-Analysis、Frida、Ghidra、IDA Pro 等。如果检测到这些工具中的任何一个，它会设置一个标志来改变其行为。

2️⃣ 在执行时，Snapekit 可以通过利用 Linux 能力 (CAP) 来提升权限，从而将其根套件加载到内核空间。根套件随后挂钩 21 个系统调用，包括 open、read、write、unlink 和 ptrace，以隐藏其活动。

3️⃣ 其中挂钩的函数还包括与网络相关的系统调用：tcp4_seq_show、tcp6_seq_show、udp4_seq_show 和 udp6_seq_show，这使其能够隐藏恶意网络活动。它的设计非常隐蔽！

4️⃣ 根套件安装在 /lib/modules/snapekit.ko，并通过系统调用挂钩仔细隐藏其有效负载。这使得通过标准文件或网络监控工具检测它变得极其困难。

5️⃣ 投放器还通过 PTrace 检测调试尝试，并设置相应的标志。这种级别的防御表明这是一种高度复杂的恶意软件，旨在逃避自动化分析和手动逆向工程。

6️⃣ 创作者 Humzak711 暗示一旦完成，将在 GitHub 上发布 Snapekit 的开源版本。研究人员请注意其潜在发布，并准备好您的沙箱工具！合作对于理解这一威胁至关重要。