Дослідники з компанії Elastic Security виявили нову критичну загрозу для Linux-систем – комплексний руткіт Pumakit, що використовує передові технології маскування та ескалації привілеїв. Шкідливе програмне забезпечення було ідентифіковано на початку вересня 2024 року після завантаження підозрілого виконуваного файлу на платформу VirusTotal.
Складна модульна архітектура загрози
Технічний аналіз показав, що Pumakit побудований як багатокомпонентна система з високим рівнем взаємодії між модулями. Основними компонентами є: програма-завантажувач (дроппер), виконувані файли в пам’яті, модуль ядра Linux (LKM) та спільний об’єкт (SO) для операцій у просторі користувача. Така архітектурна реалізація забезпечує широкі можливості для компрометації цільових систем.
Процес інфікування та особливості функціонування
Зараження починається з активації дроппера, який запускає два корисні навантаження безпосередньо з пам’яті – /memfd:tgt та /memfd:wpn. Особливу увагу привертає компонент /memfd:wpn, який після верифікації середовища впроваджує модуль руткіта puma.ko в ядро системи. Це забезпечує глибоку інтеграцію шкідливого коду на рівні операційної системи.
Технічні обмеження та механізми роботи
Ключовою технічною характеристикою Pumakit є використання функції kallsyms_lookup_name() для системних маніпуляцій. Це вказує на орієнтацію руткіта на версії ядра Linux до 5.7, оскільки в новіших релізах ця функція не експортується. Шкідливе ПЗ реалізує перехоплення 18 системних викликів та різноманітних функцій ядра через механізм ftrace, що свідчить про його високу технічну складність.
Методи приховування та протидія виявленню
Pumakit демонструє потужні можливості маскування своєї присутності в системі. Компонент Kitsune SO забезпечує перехоплення системних викликів на рівні користувача, модифікуючи роботу критичних утиліт, включаючи ls, ps, netstat та інші. Це дозволяє руткіту залишатися непоміченим для стандартних засобів моніторингу та антивірусних рішень.
Для протидії цій загрозі експерти Elastic Security розробили спеціалізоване YARA-правило для виявлення Pumakit. Враховуючи складність та витонченість цього шкідливого ПЗ, адміністраторам Linux-систем наполегливо рекомендується посилити моніторинг підозрілої активності, регулярно оновлювати системи безпеки та впроваджувати багаторівневий захист критичної інфраструктури.
