Специалисты компании Elastic Security выявили новую серьезную угрозу для Linux-систем — комплексный руткит Pumakit, использующий продвинутые техники маскировки и повышения привилегий. Вредоносное ПО было впервые обнаружено при анализе подозрительного исполняемого файла, загруженного на платформу VirusTotal в начале сентября 2024 года. Руткит нацелен на системы под управлением ядра Linux версий ниже 5.7.
Архитектура и компоненты Pumakit
Pumakit представляет собой сложную модульную систему, состоящую из нескольких взаимосвязанных компонентов. В его состав входят: программа-дроппер, исполняемые файлы в памяти, модуль ядра (LKM) и разделяемый объект (SO) для работы в пользовательском пространстве. Такая архитектура обеспечивает вредоносу широкие возможности по компрометации целевых систем.
Механизм заражения и особенности работы
Процесс инфицирования системы начинается с работы дроппера, который активирует две полезные нагрузки непосредственно из памяти — /memfd:tgt и /memfd:wpn. Компонент /memfd:wpn после проверки окружения внедряет в ядро системы модуль руткита puma.ko, после чего руткит получает полный контроль над системными вызовами.
Технические особенности и ограничения
Важной технической характеристикой Pumakit является использование функции kallsyms_lookup_name() для манипуляций с системой. Это указывает на то, что руткит разработан для работы с версиями ядра Linux ниже 5.7, поскольку в более новых версиях данная функция не экспортируется. Вредонос реализует хуки для 18 системных вызовов и различных функций ядра через механизм ftrace. Актуальный стабильный выпуск ядра Linux значительно выше версии 5.7 и не подвержен этому вектору атаки.
Возможности маскировки и противодействия обнаружению
Руткит демонстрирует продвинутые способности по сокрытию своего присутствия. Он маскирует свою активность от системных логов, инструментов мониторинга и антивирусных решений. Компонент Kitsune SO обеспечивает перехват системных вызовов на уровне пользователя, модифицируя работу критически важных утилит, включая ls, ps, netstat и других.
Кто находится под угрозой
Pumakit прежде всего угрожает организациям, использующим устаревшие дистрибутивы Linux с ядром версий ниже 5.7:
- серверы под управлением CentOS 7 / RHEL 7 и более ранних версий;
- встроенные Linux-системы и IoT-устройства с кастомными ядрами без своевременных обновлений;
- системы в корпоративной инфраструктуре, где обновление ядра откладывается из соображений совместимости;
- виртуальные машины и контейнерные хосты с ядром ниже 5.7, на которых работают веб-серверы или базы данных с выходом в интернет.
Что делать при обнаружении Pumakit
Специалисты Elastic Security опубликовали правило YARA для детектирования Pumakit. Администраторам Linux-систем рекомендуется предпринять следующие шаги:
- обновить ядро Linux до версии 5.7 и выше — это исключает вектор атаки через kallsyms_lookup_name();
- применить правило YARA от Elastic Security для сканирования всех серверов с ядром ниже 5.7;
- проверить список загруженных модулей ядра командой
lsmodна предмет неизвестных записей; - настроить мониторинг целостности файловой системы (FIM) для критических системных директорий;
- при подозрении на заражение — изолировать систему от сети и провести форензику через live-образ с незаражённой среды.
Дополнительные индикаторы компрометации и технический анализ доступны в блоге Elastic Security Labs. Для отслеживания угроз такого класса рекомендуется также сверяться с базой известных эксплуатируемых уязвимостей CISA.
