Специалисты компании Elastic Security выявили новую серьезную угрозу для Linux-систем — комплексный руткит Pumakit, использующий продвинутые техники маскировки и повышения привилегий. Вредоносное ПО было впервые обнаружено при анализе подозрительного исполняемого файла, загруженного на платформу VirusTotal в начале сентября 2024 года.
Архитектура и компоненты Pumakit
Pumakit представляет собой сложную модульную систему, состоящую из нескольких взаимосвязанных компонентов. В его состав входят: программа-дроппер, исполняемые файлы в памяти, модуль ядра (LKM) и разделяемый объект (SO) для работы в пользовательском пространстве. Такая архитектура обеспечивает вредоносу широкие возможности по компрометации целевых систем.
Механизм заражения и особенности работы
Процесс инфицирования системы начинается с работы дроппера, который активирует две полезные нагрузки непосредственно из памяти — /memfd:tgt и /memfd:wpn. Особое внимание привлекает компонент /memfd:wpn, который после проверки окружения внедряет в ядро системы модуль руткита puma.ko.
Технические особенности и ограничения
Важной технической характеристикой Pumakit является использование функции kallsyms_lookup_name() для манипуляций с системой. Это указывает на то, что руткит разработан для работы с версиями ядра Linux ниже 5.7, поскольку в более новых версиях данная функция не экспортируется. Вредонос реализует хуки для 18 системных вызовов и различных функций ядра через механизм ftrace.
Возможности маскировки и противодействия обнаружению
Руткит демонстрирует впечатляющие способности по сокрытию своего присутствия. Он может маскировать свою активность от системных логов, инструментов мониторинга и антивирусных решений. Компонент Kitsune SO обеспечивает перехват системных вызовов на уровне пользователя, модифицируя работу критически важных утилит, включая ls, ps, netstat и других.
Для противодействия этой угрозе специалисты Elastic Security разработали специальное правило YARA, позволяющее детектировать присутствие Pumakit в системе. Учитывая сложность и продвинутые возможности данного вредоносного ПО, администраторам Linux-систем рекомендуется внимательно следить за появлением подозрительной активности и регулярно обновлять средства защиты.
