Um novo malware tipo rootkit para Linux, batizado de Pumakit, foi descoberto.
Ele utiliza técnicas avançadas de ocultação e escalada de privilégios para esconder sua presença nos sistemas.
O malware é um conjunto de vários componentes que inclui um dropper, executáveis residentes na memória, um módulo de rootkit para o kernel (LKM) e um rootkit para o espaço de usuário (userland) em objeto compartilhado (SO).
A Elastic Security descobriu o Pumakit através de um binário suspeito ('cron') enviado para o VirusTotal em 4 de setembro de 2024, e relatou não ter visibilidade de quem o utiliza nem quais são seus alvos.
Geralmente, essas ferramentas são utilizadas por atores de ameaças avançadas que visam infraestruturas críticas e sistemas empresariais para espionagem, roubo financeiro e operações de interrupção.
O Pumakit emprega um processo de infecção em múltiplas etapas começando com um dropper denominado 'cron', que executa payloads embutidos ('/memfd:tgt' e '/memfd:wpn') inteiramente da memória.
O payload '/memfd:wpn', que executa em um processo filho, realiza verificações de ambiente e manipulação da imagem do kernel, e eventualmente implanta o módulo rootkit LKM ('puma.ko') no kernel do sistema.
Embutido dentro do LKM rootkit está o Kitsune SO ('lib64/libs.so'), agindo como o rootkit de userland que se injeta em processos usando 'LD_PRELOAD' para interceptar chamadas de sistema no nível do usuário.
O rootkit segue uma ativação condicional, verificando símbolos específicos do kernel, status de boot seguro e outros pré-requisitos antes de carregar.
A Elastic diz que o Puma utiliza a função 'kallsyms_lookup_name()' para manipular o comportamento do sistema.
Isso indica que o rootkit foi projetado para atacar apenas kernels Linux antes da versão 5.7, já que versões mais novas não exportam mais a função e, portanto, não podem ser utilizadas por outros módulos do kernel.
"A habilidade do LKM rootkit de manipular o comportamento do sistema começa com o seu uso da tabela de syscalls e sua dependência de kallsyms_lookup_name() para resolução de símbolos," explicam os pesquisadores da Elastic, Remco Sprooten e Ruben Groenewoud.
Diferente de rootkits modernos que visam versões do kernel 5.7 e superiores, o rootkit não utiliza kprobes, indicando que foi projetado para kernels mais antigos.
O Puma intercepta 18 syscalls e múltiplas funções do kernel usando 'ftrace', para obter escalada de privilégios, execução de comandos e a habilidade de esconder processos.
As funções do kernel 'prepare_creds' e 'commit_creds' são abusadas para modificar credenciais de processos, concedendo privilégios de root a processos específicos.
O rootkit pode esconder sua própria presença de logs do kernel, ferramentas do sistema e antivírus, e também pode ocultar arquivos específicos em um diretório e objetos das listas de processos.
Se os hooks forem interrompidos, o rootkit os reinicializa, garantindo que suas alterações maliciosas não sejam revertidas e o módulo não possa ser descarregado.
O rootkit de userland, Kitsune SO, opera em sinergia com o Puma, estendendo seus mecanismos de controle e ocultação para interações voltadas para o usuário.
Ele intercepta chamadas de sistema no nível do usuário e altera o comportamento de comandos como ls, ps, netstat, top, htop e cat para esconder arquivos, processos e conexões de rede associados ao rootkit.
Ele também pode esconder dinamicamente quaisquer outros arquivos e diretórios baseados em critérios definidos pelos atacantes e tornar binários maliciosos completamente invisíveis para usuários e administradores de sistema.
O Kitsune SO também administra todas as comunicações com o servidor de comando e controle (C2), transmitindo comandos para o rootkit LKM e transmitindo configurações e informações do sistema para os operadores.
Além de hashes de arquivos, a Elastic Security publicou uma regra YARA para ajudar administradores de sistemas Linux a detectar ataques do Pumakit.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...