Investigadores de ciberseguridad han descubierto un nuevo rootkit de Linux llamado PUMAKIT que viene con capacidades para escalar privilegios, ocultar archivos y directorios y ocultarse de las herramientas del sistema, al mismo tiempo que evade la detección.
“PUMAKIT es un sofisticado rootkit de módulo de kernel cargable (LKM) que emplea mecanismos sigilosos avanzados para ocultar su presencia y mantener la comunicación con los servidores de comando y control”, dijeron los investigadores de Elastic Security Lab, Remco Sprooten y Ruben Groenewoud. dicho en un informe técnico publicado el jueves.
El análisis de la empresa. llega de artefactos subido a la plataforma de escaneo de malware VirusTotal a principios de septiembre.
El interior del malware se basa en una arquitectura de varias etapas que comprende un componente dropper llamado “cron”, dos ejecutables residentes en memoria (“/memfd:tgt” y “/memfd:wpn”), un rootkit LKM (“puma .ko”) y un rootkit de usuario de objeto compartido (SO) llamado Kitsune (“lib64/libs.so”).
También utiliza el rastreador de funciones interno de Linux (ftrace) para conectarse a hasta 18 llamadas al sistema diferentes y varias funciones del kernel como “prepare_creds” y “commit_creds” para alterar los comportamientos centrales del sistema y lograr sus objetivos.
“Se utilizan métodos únicos para interactuar con PUMA, incluido el uso de la llamada al sistema rmdir() para escalar privilegios y comandos especializados para extraer información de configuración y tiempo de ejecución”, dijeron los investigadores.
“A través de su implementación por etapas, el rootkit LKM garantiza que solo se activa cuando se cumplen condiciones específicas, como comprobaciones de arranque seguro o disponibilidad de símbolos del kernel. Estas condiciones se verifican escaneando el kernel de Linux y todos los archivos necesarios se integran como binarios ELF dentro el gotero.”
El ejecutable “/memfd:tgt” es el binario Cron predeterminado de Ubuntu Linux sin modificaciones, mientras que “/memfd:wpn” es un cargador para el rootkit suponiendo que se cumplan las condiciones. El rootkit LKM, por su parte, contiene un archivo SO integrado que se utiliza para interactuar con el novato desde el espacio de usuario.
Elastic señaló que cada etapa de la cadena de infección está diseñada para ocultar la presencia del malware y aprovechar los archivos residentes en la memoria y las comprobaciones específicas antes de liberar el rootkit. PUMAKIT no se ha atribuido a ningún actor o grupo de amenazas conocido.
“PUMAKIT es una amenaza compleja y sigilosa que utiliza técnicas avanzadas como enlace de llamadas al sistema, ejecución residente en memoria y métodos únicos de escalada de privilegios. Su diseño multiarquitectónico resalta la creciente sofisticación del malware dirigido a sistemas Linux”, concluyeron los investigadores.
About the Author
