PUMAKIT: Нов руткит за Linux, който е почти невъзможно да бъде открит
Дори опитни специалисти признават - битката с този руткит е като игра на котка и мишка...
Емил Василев 18:30 | 13.12.2024 0 СподелиНай-четени
IT НовиниДаниел Десподов - 9:50 | 10.12.2024Най-изненадващо украинско-американска група се опълчи на разрастването на Starlink поради хипотетичните съветски връзки на Мъск
IT НовиниЕмил Василев - 0:26 | 11.12.2024Шпионира ли ви Гугъл Chrome? 10 функционалности, които е добре да деактивирате
КосмосЕмил Василев - 21:59 | 11.12.2024Слънцето към този момент два пъти провокира всеобща и неконтролируема миграция на спътници на Starlink и ще го направи още веднъж
Емил Василевhttps://www.kaldata.com/Изследователи в региона на киберсигурността са разпознали нов злоумишлен руткит за Linux, наименуван PUMAKIT. Той е кадърен да прикрива наличието си, да усилва привилегиите си и да заобикаля разкриване от систематичните принадлежности. Този зареждащ се модул на ядрото (LKM) разполага със комплицирани механизми за прикриване, което го прави сериозна опасност.
Според Elastic Security Labs, този руткит употребява многоетапна архитектура, която включва дроп-компонент на име „ cron “, два изпълними файла в паметта („ /memfd:tgt “ и „ /memfd:wpn “), LKM руткит („ puma.ko “) и библиотека Kitsune („ lib64/libs.so “), която се извършва в потребителското пространство. Тези детайли работят дружно, с цел да скрият злонамерената му активност.
Специалната характерност на PUMAKIT е потреблението на вътрешния проследяващ механизъм на Linux (ftrace) за инжектиране на 18 систематични извиквания и модифициране на основни функционалности на ядрото, като да вземем за пример „ prepare_creds “ и „ commit_creds “. Това разрешава на руткита да трансформира държанието на системата и да обезпечава достъп до скрити функционалности.
Модулът се задейства единствено когато са изпълнени избрани условия, като да вземем за пример инспекции за сигурност при зареждане или съществуване на символна таблица на ядрото. Тези условия се ревизират посредством сканиране на ядрото, а всички нужни файлове са вградени в дропъра във формат ELF. Зловредният програмен продукт употребява и ексцентрични способи за връзка, в това число извикване на rmdir() за повишение на привилегиите.
Всичко това обезпечава спомагателна трудност при откриването и блокирането на PUMAKIT.
Всяка стъпка от заразяването е деликатно скрита – от потреблението на файлове, съхранявани единствено във краткотрайната памет, до осъществяването на серия от инспекции преди стартирането на руткита. Инструментите за разбор демонстрираха, че даже общоприети детайли като „ /memfd:tgt “ се основават на обща бинарна стратегия на Ubuntu Cron, до момента в който „ /memfd:wpn “ служи за зареждащ модул на руткита.
Понастоящем PUMAKIT не е обвързван с никоя известна хакерска група, само че откривателите означават, че комплицираната му архитектура демонстрира възходящата трудност на зловредния програмен продукт за Linux. Тези разработки се трансформират във все по-сериозна опасност за системите на тази платформа.
