Los investigadores de ciberseguridad han descubierto un nuevo rootkit de Linux llamado PUMAKIT que viene con capacidades para escalar privilegios, ocultar archivos y directorios y ocultarse de las herramientas del sistema, al mismo tiempo que evade la detección.
«PUMAKIT es un sofisticado rootkit de módulo de kernel cargable (LKM) que emplea mecanismos avanzados de sigilo para ocultar su presencia y mantener la comunicación con servidores de comando y control», dijeron los investigadores de Elastic Security Lab, Remco Srooten y Ruben Groenewoud , en un informe técnico publicado el jueves.
El análisis de la compañía proviene de artefactos cargados en la plataforma de escaneo de malware VirusTotal a principios de septiembre.
El funcionamiento interno del malware se basa en una arquitectura de múltiples etapas que incluye un componente cuentagotas llamado «cron», dos ejecutables residentes en memoria («/memfd:tgt» y «/memfd:wpn»), un rootkit LKM («puma.ko») y un rootkit de espacio de usuario de objeto compartido (SO) llamado Kitsune («lib64/libs.so»).
También utiliza el rastreador de funciones interno de Linux ( ftrace ) para conectarse a hasta 18 llamadas de sistema diferentes y varias funciones del núcleo como «prepare_creds» y «commit_creds» para alterar los comportamientos del sistema central y lograr sus objetivos.
«Se utilizan métodos únicos para interactuar con PUMA, incluido el uso de la llamada al sistema rmdir() para la escalada de privilegios y comandos especializados para extraer información de configuración y tiempo de ejecución», dijeron los investigadores.
«A través de su implementación por etapas, el rootkit LKM garantiza que solo se activa cuando se cumplen condiciones específicas, como verificaciones de arranque seguro o disponibilidad de símbolos del kernel. Estas condiciones se verifican escaneando el kernel de Linux y todos los archivos necesarios se integran como binarios ELF dentro del programa de instalación».
El ejecutable «/memfd:tgt» es el binario predeterminado de Cron de Ubuntu Linux sin ninguna modificación, mientras que «/memfd:wpn» es un cargador para el rootkit, suponiendo que se cumplan las condiciones. El rootkit LKM, por su parte, contiene un archivo SO integrado que se utiliza para interactuar con el novato desde el espacio de usuario.
Elastic señaló que cada etapa de la cadena de infección está diseñada para ocultar la presencia del malware y aprovechar los archivos residentes en la memoria y las comprobaciones específicas antes de liberar el rootkit. PUMAKIT no ha sido atribuido a ningún actor o grupo de amenazas conocido.
«PUMAKIT es una amenaza compleja y sigilosa que utiliza técnicas avanzadas como el enganche de llamadas al sistema, la ejecución residente en memoria y métodos únicos de escalada de privilegios. Su diseño multiarquitectónico pone de relieve la creciente sofisticación del malware dirigido a los sistemas Linux», concluyeron los investigadores.
Fuente y redacción: thehackernews.com
