Elastic Security Labs onthult geavanceerde Linux-malware PUMAKIT
Elastic Security Labs heeft PUMAKIT ontdekt, een geavanceerd stukje Linux-malware dat slimme technieken gebruikt om onzichtbaar te blijven en verbinding te maken met command-and-control (C2) servers. Deze malware is hierdoor bijzonder moeilijk op te sporen en te verwijderen.
PUMAKIT werd tijdens routineonderzoek op VirusTotal aan het licht gebracht. De naam verwijst naar unieke tekststrings die in de code van de malware zijn gevonden. De malware heeft een gelaagde opbouw met een dropper (cron), twee in het geheugen draaiende executables (/memfd:tgt en /memfd:tgt), een LKM-rootkitmodule en een shared object (SO) userland rootkit.
Het kernonderdeel van de malware, door de ontwikkelaars “PUMA” genoemd, gebruikt ftrace, een Linux-functietracer, om maar liefst 18 systeemoproepen (syscalls) en diverse kernelfuncties te manipuleren. Hierdoor kan de malware kritieke systeemprocessen aanpassen. Voor interactie met de rootkit gebruikt PUMAKIT onconventionele methoden, zoals de rmdir()-systeemoproep voor het verkrijgen van hogere rechten en speciale commando’s om configuratie- en runtime-informatie op te vragen. De rootkitmodule wordt pas actief onder specifieke omstandigheden, zoals het doorstaan van beveiligingscontroles of de beschikbaarheid van bepaalde kernel-symbolen. Deze checks worden uitgevoerd door de Linux-kernel grondig te scannen. Alle benodigde bestanden zitten verpakt als ELF-binaries in de dropper.
De belangrijkste functionaliteiten van de kernelmodule omvatten privilege-escalatie, het verbergen van bestanden en mappen, zichzelf verbergen voor systeemtools, anti-debuggingmaatregelen en het opzetten van communicatie met command-and-control (C2) servers.
Enkele belangrijke punten over PUMAKIT:
- Gelaagde opbouw: De malware combineert verschillende componenten, zoals een dropper, geheugenresident executables en een rootkit, die alleen onder specifieke voorwaarden worden geactiveerd.
- Geavanceerde verberging: Met behulp van ftrace() worden systeemoproepen en kernelfuncties aangepast, waardoor de malware bestanden, mappen en zichzelf kan verbergen en pogingen tot debugging kan omzeilen.
- Ongebruikelijke technieken voor privilege-escalatie: Door de rmdir()-systeemoproep te misbruiken, verkrijgt de malware verhoogde rechten en toegang tot de rootkit.
- Volledige controle: De malware kan rechten verhogen, C2-communicatie opzetten, anti-debugging toepassen en systeemgedrag manipuleren om ongestoord actief te blijven.
Meer details over deze ontdekking zijn te vinden in de uitgebreide analyse van Elastic Security Labs : https://www.elastic.co/security-labs/declawing-pumakit.