Siber güvenlik araştırmacıları , ayrıcalıkları artırma, dosya ve dizinleri gizleme ve sistem araçlarından gizlenme yeteneklerine sahip olan ve aynı anda tespit edilmekten kaçınan PUMAKIT adlı yeni bir Linux rootkit'ini ortaya çıkardı. Elastic Security Lab araştırmacıları Remco Sprooten ve Ruben Groenewoud , Perşembe günü yayınlanan teknik raporda, "PUMAKIT, varlığını gizlemek ve komuta ve kontrol sunucularıyla iletişimi sürdürmek için gelişmiş gizlilik mekanizmaları kullanan, karmaşık bir yüklenebilir çekirdek modülü (LKM) kök setidir"
Şirketin analizi, eylül ayının başlarında VirusTotal kötü amaçlı yazılım tarama platformuna yüklenen eserlerden geliyor. Kötü amaçlı yazılımın iç yapısı, "cron" adlı bir dropper bileşeni, iki bellekte yerleşik yürütülebilir dosya ("/memfd:tgt" ve "/memfd:wpn"), bir LKM rootkit'i ("puma.ko") ve Kitsune ("lib64/libs.so") adlı paylaşımlı nesne (SO) kullanıcı alanı rootkit'inden oluşan çok aşamalı bir mimariye dayanmaktadır.
Ayrıca , çekirdek sistem davranışlarını değiştirmek ve hedeflerine ulaşmak için "prepare_creds" ve "commit_creds" gibi 18'e kadar farklı sistem çağrısına ve çeşitli çekirdek işlevlerine bağlanmak için dahili Linux işlevi izleyicisini ( ftrace ) kullanır.
Araştırmacılar, "PUMA ile etkileşim kurmak için ayrıcalık yükseltme için rmdir() sistem çağrısının kullanılması ve yapılandırma ve çalışma zamanı bilgilerinin çıkarılması için özel komutlar dahil olmak üzere benzersiz yöntemler kullanılıyor" dedi.
"Aşamalı dağıtımı sayesinde LKM rootkit'i yalnızca güvenli önyükleme kontrolleri veya çekirdek simgesi kullanılabilirliği gibi belirli koşullar karşılandığında etkinleştiğinden emin olur. Bu koşullar Linux çekirdeği taranarak doğrulanır ve tüm gerekli dosyalar dropper'ın içine ELF ikili dosyaları olarak gömülür."
Yürütülebilir "/memfd:tgt" herhangi bir değişiklik yapılmamış varsayılan Ubuntu Linux Cron ikilisidir, oysa "/memfd:wpn" koşulların karşılandığını varsayarak rootkit için bir yükleyicidir. LKM rootkit'i ise, kullanıcı alanından çaylakla etkileşim kurmak için kullanılan gömülü bir SO dosyası içerir.
Elastic, enfeksiyon zincirinin her aşamasının kötü amaçlı yazılımın varlığını gizlemek ve rootkit'i serbest bırakmadan önce bellekte bulunan dosyalardan ve belirli kontrollerden yararlanmak için tasarlandığını belirtti. PUMAKIT, bilinen herhangi bir tehdit aktörüne veya grubuna atfedilmedi.
"PUMAKIT, syscall hooking, bellekte yerleşik yürütme ve benzersiz ayrıcalık yükseltme yöntemleri gibi gelişmiş teknikler kullanan karmaşık ve gizli bir tehdittir. Çok mimarili tasarımı, Linux sistemlerini hedef alan kötü amaçlı yazılımların giderek artan karmaşıklığını vurgular," diye sonuca vardı araştırmacılar.
