Detectado un nuevo rootkit malicioso para Linux, Pumakit

Iniciado por AXCESS, Diciembre 13, 2024, 12:51:15 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 13, 2024, 12:51:15 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Se ha descubierto un nuevo malware rootkit de Linux llamado Pumakit que utiliza técnicas avanzadas de escalada de privilegios y sigilo para ocultar su presencia en los sistemas.

El malware es un conjunto de varios componentes que incluye un dropper, ejecutables residentes en memoria, un rootkit de módulo de kernel y un rootkit de espacio de usuario de objeto compartido (SO).

Elastic Security descubrió Pumakit en una carga binaria sospechosa ("cron") en VirusTotal, con fecha del 4 de septiembre de 2024, e informó que no tiene visibilidad sobre quién lo usa y a qué se dirige.

Generalmente, estas herramientas son utilizadas por actores de amenazas avanzadas que atacan sistemas empresariales e infraestructuras críticas para realizar operaciones de espionaje, robo financiero y disrupción.

Pumakit

Pumakit emplea un proceso de infección de varias etapas que comienza con un dropper llamado 'cron', que ejecuta cargas útiles integradas ('/memfd:tgt' y '/memfd:wpn') completamente desde la memoria.

La carga útil '/memfd:wpn', que se ejecuta en un proceso secundario, realiza verificaciones del entorno y manipulación de la imagen del núcleo y, finalmente, implementa el módulo rootkit LKM ('puma.ko') en el núcleo del sistema.

Integrado dentro del rootkit LKM se encuentra Kitsune SO ('lib64/libs.so'), que actúa como el rootkit de espacio de usuario que se inyecta a sí mismo en procesos que usan 'LD_PRELOAD' para interceptar llamadas del sistema a nivel de usuario.

Cadena de infección de Pumakit
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Escalada de privilegios sigilosa

El rootkit sigue una activación condicional, verificando símbolos de kernel específicos, estado de arranque seguro y otros requisitos previos antes de cargarse.

Elastic dice que Puma utiliza la función 'kallsyms_lookup_name()' para manipular el comportamiento del sistema. Esto indica que el rootkit fue diseñado para apuntar únicamente a kernels Linux anteriores a la versión 5.7, ya que las versiones más nuevas ya no exportan la función y, por lo tanto, no pueden ser utilizadas por otros módulos del kernel.

"La capacidad del rootkit LKM para manipular el comportamiento del sistema comienza con su uso de la tabla syscall y su dependencia de kallsyms_lookup_name() para la resolución de símbolos", explican los investigadores de Elastic Remco Srooten y Ruben Groenewoud.

"A diferencia de los rootkits modernos que apuntan a versiones de kernel 5.7 y superiores, el rootkit no utiliza kprobes, lo que indica que está diseñado para kernels más antiguos".

Puma conecta 18 llamadas al sistema y múltiples funciones del kernel usando 'ftrace' para obtener escalada de privilegios, ejecución de comandos y la capacidad de ocultar procesos.

Uso de ftrace para conectar llamadas al sistema
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Las funciones del kernel 'prepare_creds' y 'commit_creds' se utilizan de forma abusiva para modificar las credenciales de proceso, otorgando privilegios de root a procesos específicos.

Realizar una escalada de privilegios
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El rootkit puede ocultar su propia presencia de los registros del núcleo, las herramientas del sistema y el antivirus, y también puede ocultar archivos específicos en un directorio y objetos de las listas de procesos.

Si los ganchos se interrumpen, el rootkit los reinicializa, lo que garantiza que sus cambios maliciosos no se reviertan y que el módulo no se pueda descargar.

El rootkit de usuario Kitsune SO opera en sinergia con Puma, extendiendo sus mecanismos de control y sigilo a las interacciones de cara al usuario.

Intercepta las llamadas del sistema a nivel de usuario y altera el comportamiento de elementos como ls, ps, netstat, top, htop y cat para ocultar archivos, procesos y conexiones de red asociadas con el rootkit.

También puede ocultar dinámicamente cualquier otro archivo y directorio según los criterios definidos por el atacante y hacer que los binarios maliciosos sean completamente invisibles para los usuarios y los administradores del sistema.

Kitsune SO también maneja todas las comunicaciones con el servidor de comando y control (C2), retransmitiendo comandos al rootkit LKM y transmitiendo la configuración y la información del sistema a los operadores.

Además de los hashes de archivos, Elastic Security ha publicado una regla YARA para ayudar a los administradores de sistemas Linux a detectar ataques Pumakit.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario