网络安全研究人员发现了一种名为 PUMAKIT 的新型 Linux Rootkit,它具有提升权限、隐藏文件和目录以及隐藏自身免受系统工具攻击的功能,同时可以逃避检测。
“PUMAKIT 是一个复杂的可加载内核模块 (LKM) Rootkit,它采用先进的隐身机制来隐藏其存在并保持与命令和控制服务器的通信,”Elastic 安全实验室研究人员 Remco Sprooten 和 Ruben Groenewoud 在周四发布的一份技术报告中表示。
该公司的分析来自今年 9 月早些时候上传到 VirusTotal 恶意软件扫描平台的工件。
恶意软件的内部基于多阶段架构,其中包括一个名为“cron”的 dropper 组件、两个驻留在内存中的可执行文件(“/memfd:tgt”和“/memfd:wpn”)、一个 LKM rootkit(“puma.ko”)和一个名为 Kitsune 的共享对象 (SO) 用户空间 rootkit(“lib64/libs.so”)。
它还使用内部 Linux 函数跟踪器 (ftrace) 挂接到多达 18 个不同的系统调用和各种内核函数(如“prepare_creds”和“commit_creds”)来更改核心系统行为并实现其目标。
研究人员说:“使用独特的方法与 PUMA 交互,包括使用 rmdir() 系统调用进行权限提升,以及使用专用命令提取配置和运行时信息。
“通过其分阶段部署,LKM rootkit 确保它仅在满足特定条件(例如安全启动检查或内核符号可用性)时激活。这些条件通过扫描 Linux 内核来验证,所有必要的文件都作为 ELF 二进制文件嵌入到 dropper 中。
可执行文件 “/memfd:tgt” 是默认的 Ubuntu Linux Cron 二进制文件,没有任何修改,而 “/memfd:wpn” 是假设满足条件的 rootkit 的加载程序。就其本身而言,LKM rootkit 包含一个嵌入式 SO 文件,用于与用户空间的 rookie 交互。
Elastic 指出,感染链的每个阶段都旨在隐藏恶意软件的存在,并在释放 Rootkit 之前利用内存驻留文件和特定检查。PUMAKIT 尚未归咎于任何已知的威胁行为者或组织。
“PUMAKIT 是一种复杂而隐蔽的威胁,它使用系统调用挂钩、内存驻留执行和独特的权限提升方法等高级技术。它的多架构设计凸显了针对 Linux 系统的恶意软件的日益复杂,“研究人员总结道。
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):新的 Linux Rootkit PUMAKIT 使用先进的隐身技术来逃避检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论