Sicherheitsforscher von Elastic Security haben eine neue, hochkomplexe Malware-Bedrohung für Linux-Systeme identifiziert. Der als Pumakit bezeichnete Rootkit wurde Anfang September 2024 erstmals auf der VirusTotal-Plattform entdeckt und zeichnet sich durch fortschrittliche Tarnungsmechanismen sowie ausgefeilte Privilege-Escalation-Techniken aus.
Modulare Architektur ermöglicht weitreichende Systemkompromittierung
Die technische Analyse offenbart eine sophisticated modulare Struktur des Rootkits. Pumakit besteht aus mehreren integrierten Komponenten: einem Initial-Dropper, Memory-Resident-Executables, einem Linux Kernel Module (LKM) sowie einer Shared Object (SO) Bibliothek für User-Space-Operationen. Diese durchdachte Architektur ermöglicht eine tiefgreifende Infiltration des Zielsystems.
Fortschrittlicher Infektionsprozess mit Memory-Only-Payloads
Der Infektionsablauf beginnt mit der Ausführung des Droppers, der zwei Memory-Resident-Payloads aktiviert: /memfd:tgt und /memfd:wpn. Besonders bemerkenswert ist die /memfd:wpn-Komponente, die nach erfolgreicher Umgebungsvalidierung das Kernel-Modul puma.ko in das Betriebssystem injiziert.
Technische Limitierungen und Kernel-Interaktion
Eine wichtige technische Charakteristik von Pumakit ist die Verwendung der kallsyms_lookup_name()-Funktion für Kernel-Manipulationen. Diese Implementierung deutet darauf hin, dass der Rootkit primär auf Linux-Kernel-Versionen vor 5.7 abzielt, da neuere Versionen diese Funktion nicht mehr exportieren. Die Malware implementiert Hooks für 18 verschiedene Syscalls und Kernel-Funktionen unter Nutzung des ftrace-Mechanismus.
Ausgefeilte Tarnungsmechanismen erschweren Erkennung
Pumakit verfügt über hochentwickelte Verschleierungstechniken, die eine Erkennung durch konventionelle Sicherheitslösungen erheblich erschweren. Die Kitsune SO-Komponente implementiert User-Level-Syscall-Hooking und manipuliert kritische Systemwerkzeuge wie ls, ps und netstat, um die Malware-Aktivitäten vor Monitoring-Tools zu verbergen.
Zur Abwehr dieser ernstzunehmenden Bedrohung haben die Elastic Security Experten eine spezialisierte YARA-Regel entwickelt, die eine zuverlässige Detektion von Pumakit ermöglicht. Systemadministratoren wird dringend empfohlen, ihre Linux-Systeme regelmäßig auf verdächtige Aktivitäten zu überprüfen, Sicherheitsupdates zeitnah einzuspielen und fortschrittliche Endpoint-Detection-and-Response (EDR) Lösungen einzusetzen. Die Implementierung eines mehrstufigen Sicherheitskonzepts ist angesichts der steigenden Komplexität moderner Malware unerlässlich.
