网络安全研究人员发现了一种名为 PUMAKIT 的新型 Linux rootkit,它具有升级权限、隐藏文件和目录、从系统工具中隐藏自身等功能,同时还能躲避检测。

Elastic 安全实验室的研究人员 Remco Sprooten 和 Ruben Groenewoud 在周四发布的一份技术报告中说:“PUMAKIT 是一种复杂的可加载内核模块(LKM)rootkit,它采用先进的隐身机制来隐藏自己的存在,并保持与命令控制服务器的通信。”

该公司的分析来自今年 9 月初上传到 VirusTotal 恶意软件扫描平台的人工制品。

该恶意软件的内部结构基于一个多阶段架构,包括一个名为 “cron ”的滴管组件、两个内存驻留可执行文件(“/memfd:tgt ”和“/memfd:wpn”)、一个LKM rootkit(“puma.ko”)和一个名为Kitsune(“lib64/libs.so”)的共享对象(SO)用户域rootkit。

它还使用 Linux 内部函数跟踪器(ftrace)挂钩多达 18 种不同的系统调用和各种内核函数,如 “prepare_creds ”和 “commit_creds”,以改变核心系统行为并实现其目标。

研究人员说:“PUMA 使用独特的方法进行交互,包括使用 rmdir() 系统调用进行权限升级,以及使用专门的命令提取配置和运行时信息。”

研究人员说:“通过分阶段部署,LKM rootkit 确保只有在满足特定条件(如安全启动检查或内核符号可用性)时才会激活。这些条件通过扫描Linux内核来验证,所有必要的文件都以ELF二进制文件的形式嵌入到滴管中。”

可执行文件“/memfd:tgt ”是默认的 Ubuntu Linux Cron 二进制文件,未作任何修改,而“/memfd:wpn ”则是 rootkit 的加载器,前提是满足条件。LKM rootkit 包含一个嵌入式 SO 文件,用于从用户空间与菜鸟进行交互。

Elastic 公司指出,感染链的每个阶段都旨在隐藏恶意软件的存在,并在释放 rootkit 之前利用内存驻留文件和特定检查。该公司告诉《黑客新闻》,现阶段还不能将 PUMAKIT 归咎于任何已知的威胁行为者或组织。

“PUMAKIT是一种复杂而隐蔽的威胁,它使用了系统调用挂钩、内存驻留执行和独特的权限升级方法等先进技术。它的多体系结构设计凸显了针对 Linux 系统的恶意软件日益复杂,”研究人员总结道。

文章原文链接:https://www.anquanke.com/post/id/302745