PUMA通过隐秘的rootkit攻击潜入Linux
多级rootkit针对Linux系统,使用先进的隐形技术来升级权限并避免被发现。
一种新的可加载内核模块(LKM)rootkit已在具有高级隐形和特权升级功能的Linux系统中被发现。
弹性安全研究人员在VirusTotal的常规威胁搜索中发现了PUMAKIT,他们称之为PUMAKIT。PUMAKIT是作为多阶段恶意软件架构的一部分部署的,该架构由一个滴管、两个驻留在内存中的可执行文件、一个LKM rootkit模块和一个共享对象(SO)userland rootkit组成。
研究人员说:“恶意软件作者称之为‘PUMA’的rootkit组件使用一个内部Linux函数跟踪器(ftrace)来钩住18个不同的系统调用和几个内核函数,使其能够操纵核心系统行为。”。
Rootkit是专门用于在受损系统中建立持久性的恶意程序或工具集合,通常被高级持久性威胁(APT)组织用于针对关键组织。
弹性安全研究人员可以将部署追溯到2024年9月4日,当时上传了相关的可疑二进制文件(cron)。
多阶段部署
PUMAKIT以其PUMA内核模块和Kitsune userland rootkit命名,它使用一个多阶段的感染过程,从一个被篡改的“cron”二进制文件开始。这将恶意软件伪装成合法的系统进程,使其能够融入系统。
dropper创建了两个内存中的可执行文件:/memfd:tgt,一个无害的cron二进制文件,和/memfd:hpn,一个rootkit加载器。加载器评估环境,执行额外的有效负载,并为rootkit部署准备系统。
从/tmp执行临时脚本script.sh,以完成PUMA内核rootkit模块的部署。rootkit嵌入了Kitsune SO,以促进用户间的交互,确保无缝和隐秘的感染过程。
研究人员补充说,内核模块的主要功能包括提升权限、隐藏文件和目录、逃避系统工具的检测、实现反调试技术以及启用与命令和控制(C2)服务器的通信。
先进的规避能力
rootkit会根据特定条件激活,在加载之前验证内核符号、安全启动状态和其他必要因素。它针对5.7版本之前的Linux内核,因为较新版本不再支持rootkit所依赖的函数kallsyms_lookup_name()。
使用此函数,Puma rootkit可以操纵系统行为。研究人员补充说,使用“非传统”方法,它通过ftrace连接到18个系统调用和几个内核函数,允许它升级权限、执行命令和隐藏进程。
rootkit还使用prepare_creds和commit_creds修改凭据,授予root访问特定进程的权限。
Puma与userland rootkit Kitsune协同工作,通过隐藏文件、进程和网络连接来扩展其控制。Kitsune拦截ls、ps和top等系统调用以防止检测,并管理与命令和控制服务器的通信,传输系统数据和接收命令。
Elastic Security开发了一个YARA签名来检测PUMAKIT,包括dropper(cron)、rootkit加载器(/memfd:wpn)、LKM rootkit和Kitsune共享对象文件。
