PUMAKIT: новый убийца безопасности Linux, который почти невозможно обнаружить

Исследователи в области кибербезопасности выявили новый вредоносный руткит для Linux под названием PUMAKIT. Он способен скрывать своё присутствие, повышать привилегии и избегать обнаружения системными инструментами. Этот модуль загружаемого ядра ( LKM ) обладает сложными механизмами маскировки, что делает его серьёзной угрозой.

По данным Elastic Security Labs, данный руткит использует многоступенчатую архитектуру, включающую компонент-дроппер с именем «cron», два исполняемых файла в памяти («/memfd:tgt» и «/memfd:wpn»), LKM-руткит («puma.ko») и библиотеку Kitsune («lib64/libs.so») для работы в пользовательском пространстве. Эти элементы работают вместе, чтобы скрыть вредоносную активность.

Особенность PUMAKIT заключается в применении внутреннего трассировщика функций Linux (ftrace) для внедрения в 18 системных вызовов и изменения ключевых функций ядра, таких как «prepare_creds» и «commit_creds». Это позволяет руткиту изменять поведение системы и обеспечивать доступ к скрытым возможностям.

Модуль активируется только при выполнении определённых условий, таких как проверка безопасности загрузки или доступность символьных таблиц ядра. Эти условия проверяются путём сканирования ядра, причём все необходимые файлы встроены в дроппер в формате ELF.

Вредоносное ПО также использует нестандартные методы взаимодействия, включая вызов rmdir() для повышения привилегий. Эти функции обеспечивают дополнительную сложность обнаружения и блокировки PUMAKIT.

Каждый этап заражения тщательно скрыт: от использования файлов, хранящихся только во временной памяти, до выполнения ряда проверок перед запуском руткита. Инструменты анализа показали, что даже стандартные элементы, такие как «/memfd:tgt», основаны на обычном бинарном файле Cron Ubuntu, а «/memfd:wpn» служит загрузчиком руткита.

На текущий момент PUMAKIT не связывают с известными хакерскими группировками, но исследователи отмечают, что его сложная архитектура указывает на растущую изощрённость вредоносных программ для Linux. Эти разработки становятся всё более серьёзной угрозой для систем на этой платформе.