Su diseño multiarquitectónico resalta la creciente sofisticación del malware dirigido a los sistemas Linux
Investigadores de ciberseguridad han descubierto un nuevo rootkit de Linux llamado PUMAKIT que viene con capacidades para escalar privilegios, ocultar archivos y directorios y ocultarse de las herramientas del sistema, al mismo tiempo que evade la detección.
"PUMAKIT es un sofisticado rootkit de módulo de kernel cargable (LKM) que emplea avanzados mecanismos de sigilo para ocultar su presencia y mantener la comunicación con servidores de comando y control", dijeron en un informe técnico publicado el jueves los investigadores de Elastic Security Lab, Remco Srooten y Ruben Groenewoud.
El análisis de la compañía proviene de artefactos cargados en la plataforma de escaneo de malware VirusTotal a principios de septiembre.
El funcionamiento interno del malware se basa en una arquitectura de múltiples etapas que incluye un componente cuentagotas llamado "cron", dos ejecutables residentes en memoria ("/memfd:tgt" y "/memfd:wpn"), un rootkit LKM ("puma.ko") y un rootkit de espacio de usuario de objeto compartido (SO) llamado Kitsune ("lib64/libs.so").
También utiliza el rastreador de funciones interno de Linux (ftrace) para conectarse a hasta 18 diferentes llamadas de sistema y varias funciones del núcleo como "prepare_creds" y "commit_creds" para alterar los comportamientos del sistema central y lograr sus objetivos.
"Se utilizan métodos únicos para interactuar con PUMA, incluido el uso de la llamada al sistema rmdir() para la escalada de privilegios y comandos especializados para extraer información de configuración y tiempo de ejecución", dijeron los investigadores.
"A través de su implementación por etapas, el rootkit LKM garantiza que solo se activa cuando se cumplen condiciones específicas, como verificaciones de arranque seguro o disponibilidad de símbolos del kernel. Estas condiciones se verifican escaneando el kernel de Linux y todos los archivos necesarios se incorporan como binarios ELF dentro del cuentagotas".
El ejecutable "/memfd:tgt" es el binario Cron predeterminado de Ubuntu Linux sin ninguna modificación, mientras que "/memfd:wpn" es un cargador para el rootkit asumiendo que se cumplen las condiciones. El rootkit LKM, por su parte, contiene un archivo SO incorporado que se utiliza para interactuar con el rookie desde el espacio del usuario.
Elastic señaló que cada etapa de la cadena de infección está diseñada para ocultar la presencia del malware y aprovechar los archivos residentes en la memoria y las comprobaciones específicas antes de liberar el rootkit. PUMAKIT no ha sido atribuido a ningún actor o grupo de amenazas conocido.
"PUMAKIT es una amenaza compleja y sigilosa que utiliza técnicas avanzadas como enganche de llamadas al sistema, ejecución residente en memoria y métodos únicos de escalada de privilegios. Su diseño multiarquitectónico resalta la creciente sofisticación del malware dirigido a los sistemas Linux", concluyeron los investigadores.