новый убийца безопасности Linux, который почти невозможно обнаружить

новый убийца безопасности Linux, который почти невозможно обнаружить


PUMAKIT: новый убийца безопасности Linux, который почти невозможно обнаружить

Даже опытные эксперты признают – борьба с этим руткитом напоминает игру в кошки-мышки.


Исследователи в области кибербезопасности выявили новый вредоносный руткит для Linux под названием PUMAKIT. Он способен скрывать своё присутствие, повышать привилегии и избегать обнаружения системными инструментами. Этот модуль загружаемого ядра (LKM) обладает сложными механизмами маскировки, что делает его серьёзной угрозой.


По данным
Elastic Security Lab, данный руткит использует многоступенчатую архитектуру, включающую компонент-дроппер с именем «cron», два исполняемых файла в памяти («/memfd:tgt» и «/memfd:wpn»), LKM-руткит («puma.ko») и библиотеку Kitsune («lib64/libs.so») для работы в пользовательском пространстве. Эти элементы работают вместе, чтобы скрыть вредоносную активность.


Особенность PUMAKIT заключается в применении внутреннего трассировщика функций Linux (ftrace) для внедрения в 18 системных вызовов и изменения ключевых функций ядра, таких как «prepare_creds» и «commit_creds». Это позволяет руткиту изменять поведение системы и обеспечивать доступ к скрытым возможностям.


Модуль активируется только при выполнении определённых условий, таких как проверка безопасности загрузки или доступность символьных таблиц ядра. Эти условия проверяются путём сканирования ядра, причём все необходимые файлы встроены в дроппер в формате ELF.


Вредоносное ПО также использует нестандартные методы взаимодействия, включая вызов rmdir() для повышения привилегий. Эти функции обеспечивают дополнительную сложность обнаружения и блокировки PUMAKIT.


Каждый этап заражения тщательно скрыт: от использования файлов, хранящихся только во временной памяти, до выполнения ряда проверок перед запуском руткита. Инструменты анализа показали, что даже стандартные элементы, такие как «/memfd:tgt», основаны на обычном бинарном файле Cron Ubuntu, а «/memfd:wpn» служит загрузчиком руткита.


На текущий момент PUMAKIT не связывают с известными хакерскими группировками, но исследователи отмечают, что его сложная архитектура указывает на растущую изощрённость вредоносных программ для Linux. Эти разработки становятся всё более серьёзной угрозой для систем на этой платформе.



Source link


Больше на Сегодня.Today

Subscribe to get the latest posts sent to your email.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Больше на Сегодня.Today

Оформите подписку, чтобы продолжить чтение и получить доступ к полному архиву.

Читать дальше