Se identificó en la naturaleza un RootKit LKM final (módulo de núcleo cargable), comprometiendo los sistemas de Linux gracias a las funciones avanzadas de sigilo y la elevación de los privilegios. Pumakit fue bautizado por investigadores de seguridad elásticos quien lo descubrió Durante una caza de amenaza de rutina en Virustotal. Se implementa como parte de una arquitectura de software maliciosa en varias etapas que consiste en un gotero, dos ejecutables que residen en la memoria, un módulo de rootkit LKM y una raíz de objetos compartidos (SO) en la zona de usuario. El componente RootKit, designado por los autores del malware bajo el nombre de PUMA, utiliza un Linux interno (FTRACE) con 18 llamadas de Syscall diferentes y varias funciones en el núcleo para manipular el comportamiento del sistema central, dijeron los investigadores.

RootKits son programas maliciosos o colecciones de herramientas especializadas que pueden establecerse permanentemente en los sistemas de compromiso y a menudo son utilizados por grupos avanzados de amenazas persistentes (APT), dirigidas a empresas en sectores críticos. Los investigadores de seguridad elástica pudieron volver sobre el despliegue hasta el 4 de septiembre de 2024, cuando se descargó el binario sospechoso asociado (CRON).

Índice
  1. Una implementación en varias etapas
  2. Capacidades de escape avanzadas

Una implementación en varias etapas

Pumakit, que toma su nombre del módulo PUMA del núcleo y el kitsune rootkit, utiliza un proceso de infección en varias etapas que comienza con un binario "cron" alterado. Esto camufla el malware en un proceso de sistema legítimo, lo que le permite combinarse con el sistema. El gotero crea dos ejecutables en la memoria: /MEMFD: TGT, un binario cron inofensivo, y /MEMFD: WPN, un cargador rootkit. Este último evalúa el entorno, realiza cargos útiles adicionales y prepara el sistema para la implementación de RootKit.

Un script temporal, script.sh, se ejecuta de /tmp para finalizar la implementación del módulo rootkit del núcleo PUMA. Esto integra kitsune para facilitar las interacciones con los usuarios, lo que garantiza un proceso de infección transparente y sigilosa. Las características principales de este módulo del núcleo incluyen: elevación de privilegios, archivos y directorios de enmascaramiento, evitación de la detección por herramientas del sistema, implementación de técnicas anti-fondos y posibilidad de comunicarse con servidores de control y control (C2), agregaron los investigadores.

Capacidades de escape avanzadas

El RootKit se activa de acuerdo con ciertas condiciones, como el estado de inicio seguro y otros factores necesarios antes de cuidar. Se dirige a los núcleos de Linux antes de la versión 5.7, porque las versiones más recientes ya no admiten la función kalllyms_lookup_name (), en la que se basa RootKit. Usando esta función, el PUMA RootKit manipula el comportamiento del sistema. Utilizando métodos "no convencionales", administra a través de FTRACE, lo que le permite aumentar los privilegios, ejecutar órdenes y ocultar procesos, agregó los investigadores. RootKit también cambia la información de identificación con prepare_creds y commit_creds, que ofrece al usuario root para acceder a procesos específicos.

En coordinación con RootKit Kitsune, PUMA extiende su control mediante archivos de enmascaramiento, procesos y conexiones de red. Kitsune intercepta las llamadas del sistema como LS, PS y TOP para evitar ser detectados y administra la comunicación con el servidor de control y control, transmitiendo datos del sistema y recibiendo comandos. La seguridad elástica ha desarrollado una firma de Yara para detectar Pumakit, incluido Dropper (CRON), RootKit Charger (/MEMFD: WPN), RootKit LKM y Kitsune de objetos compartidos.