Investigadores de ciberseguridad han descubierto un nuevo rootkit de Linux llamado PUMAKIT<\/strong> que viene con capacidades para escalar privilegios, ocultar archivos y directorios y ocultarse de las herramientas del sistema, al mismo tiempo que evade la detecci\u00f3n.<\/p>\n “PUMAKIT es un sofisticado rootkit de m\u00f3dulo de kernel cargable (LKM) que emplea mecanismos sigilosos avanzados para ocultar su presencia y mantener la comunicaci\u00f3n con los servidores de comando y control”, dijeron los investigadores de Elastic Security Lab, Remco Sprooten y Ruben Groenewoud. dicho<\/a> en un informe t\u00e9cnico publicado el jueves.<\/p>\n El an\u00e1lisis de la empresa. llega<\/a> de artefactos<\/a> subido a la plataforma de escaneo de malware VirusTotal a principios de septiembre.<\/p>\n El interior del malware se basa en una arquitectura de varias etapas que comprende un componente dropper llamado “cron”, dos ejecutables residentes en memoria (“\/memfd:tgt” y “\/memfd:wpn”), un rootkit LKM (“puma .ko”) y un rootkit de usuario de objeto compartido (SO) llamado Kitsune (“lib64\/libs.so”). <\/p>\n Tambi\u00e9n utiliza el rastreador de funciones interno de Linux (ftrace<\/a>) para conectarse a hasta 18 llamadas al sistema diferentes y varias funciones del kernel como “prepare_creds” y “commit_creds” para alterar los comportamientos centrales del sistema y lograr sus objetivos.<\/p>\n “Se utilizan m\u00e9todos \u00fanicos para interactuar con PUMA, incluido el uso de la llamada al sistema rmdir() para escalar privilegios y comandos especializados para extraer informaci\u00f3n de configuraci\u00f3n y tiempo de ejecuci\u00f3n”, dijeron los investigadores.<\/p>\n “A trav\u00e9s de su implementaci\u00f3n por etapas, el rootkit LKM garantiza que solo se activa cuando se cumplen condiciones espec\u00edficas, como comprobaciones de arranque seguro o disponibilidad de s\u00edmbolos del kernel. Estas condiciones se verifican escaneando el kernel de Linux y todos los archivos necesarios se integran como binarios ELF dentro el gotero.”<\/p>\n El ejecutable “\/memfd:tgt” es el binario Cron predeterminado de Ubuntu Linux sin modificaciones, mientras que “\/memfd:wpn” es un cargador para el rootkit suponiendo que se cumplan las condiciones. El rootkit LKM, por su parte, contiene un archivo SO integrado que se utiliza para interactuar con el novato desde el espacio de usuario.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/El-nuevo-rootkit-de-Linux-PUMAKIT-utiliza-tecnicas-sigilosas-avanzadas.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n