Apple Planet
  • REDAKCJA
  • WSPÓŁPRACA
  • POLITYKA PRYWATNOŚCI
No Result
View All Result
  • Apple
  • Sztuczna inteligencja AI
  • Smartfony
  • Nauka i technika
  • Komputery & Tablety
  • Security
  • Nowinki
    • Recenzje
    • Poradniki
    • iDared Serwis
      • Serwis iPhone
      • Serwis MacBook
      • Serwis Telefonów Samsung
      • Serwis Telefonów Xiaomi
niedziela, 1 czerwca, 2025
  • Apple
  • Sztuczna inteligencja AI
  • Smartfony
  • Nauka i technika
  • Komputery & Tablety
  • Security
  • Nowinki
    • Recenzje
    • Poradniki
    • iDared Serwis
      • Serwis iPhone
      • Serwis MacBook
      • Serwis Telefonów Samsung
      • Serwis Telefonów Xiaomi
No Result
View All Result
Apple Planet
No Result
View All Result
Home Security

Nowy rootkit PUMAKIT na Linuksie wykorzystuje zaawansowane techniki maskowania, aby uniknąć wykrycia

od Pan z ApplePlanet
13 grudnia, 2024
w Security
0
466
SHARES
1.5k
VIEWS
Udostępnij na FacebookuUdostępnij na Tweeterze

 

Eksperci ds. cyberbezpieczeństwa odkryli nowe zagrożenie skierowane na systemy Linux – rootkit o nazwie PUMAKIT. Oprogramowanie to charakteryzuje się zaawansowanymi możliwościami, takimi jak eskalacja uprawnień, ukrywanie plików i katalogów oraz zapewnianie pełnej niewidzialności przed tradycyjnymi narzędziami systemowymi, co utrudnia jego wykrycie i eliminację.

Zespół badaczy Elastic Security Lab, w skład którego wchodzą Remco Sprooten i Ruben Groenewoud, podkreśla, że „PUMAKIT to wyrafinowany rootkit oparty na załadowalnym module jądra (LKM). Wykorzystuje zaawansowane mechanizmy ukrywania swojej obecności oraz mechanizmy komunikacji z serwerami dowodzenia i kontroli (C2).” Wyniki analizy technicznej zostały opublikowane w raporcie, zwracając uwagę na rosnące wyzwania związane z ochroną systemów Linux przed tego typu zagrożeniami.

Analiza samego rootkita została przeprowadzona na podstawie artefaktów przesłanych na platformę do skanowania złośliwego oprogramowania VirusTotal we wrześniu. Wykorzystano w tym celu zaawansowane narzędzia do analizy kodu złośliwego, dzięki czemu możliwe było pełne zrozumienie działania tej wieloetapowej architektury.

 

Rootkit PUMAKIT składa się z kilku warstw, które obejmują dropper o nazwie „cron”, dwa pliki wykonywalne w pamięci („/memfd:tgt” i „/memfd:wpn”), rootkit jądra w postaci modułu „puma.ko” oraz moduł użytkownika na poziomie przestrzeni (SO) o nazwie „Kitsune” („lib64/libs.so”). Taka konstrukcja umożliwia stopniowe uruchamianie poszczególnych komponentów, co sprzyja unikaniu podejrzeń i znacznie utrudnia wykrycie oraz analizę zagrożenia.

Kluczowym elementem jest wykorzystanie funkcji ftrace, wewnętrznego narzędzia Linuksa do śledzenia działań w jądrze systemu. PUMAKIT modyfikuje aż 18 różnych wywołań systemowych i funkcji jądra, takich jak „preparecreds” czy „commitcreds”, co pozwala na manipulację zachowaniem systemu na bardzo niskim poziomie. To sprawia, że rootkit jest w stanie modyfikować działanie systemu operacyjnego, pozostając jednocześnie praktycznie niewidzialnym dla jego użytkownika.

Zastosowane przez PUMAKIT metody są unikalne, a komunikacja z rootkitem odbywa się poprzez niestandardowe techniki, takie jak użycie syscall „rmdir()” do eskalacji uprawnień czy specjalne komendy pozwalające na ekstrakcję konfiguracji i danych runtime. Ważnym aspektem działania tego malware jest sprawdzanie specyficznych warunków, takich jak dostępność symboli jądra czy aktywność funkcji Secure Boot, przed jego pełnym uruchomieniem. Wszystkie niezbędne pliki są zakodowane w postaci binariów ELF w obrębie droppera, co eliminuje konieczność pobierania dodatkowych plików z zewnętrznych źródeł.

Co ciekawe, plik wykonywalny „/memfd:tgt” jest niezmodyfikowanym narzędziem Cron z systemu Ubuntu, które wykorzystano do potajemnej dystrybucji i inicjalizacji rootkita. Natomiast „/memfd:wpn” pełni rolę ładowarki, która aktywuje kolejny komponent, jeśli wcześniej wspomniane warunki zostaną spełnione. Rootkit jądra integruje się z plikiem SO (lib64/libs.so), który udostępnia interfejs komunikacji między rootkitem a częścią użytkownika systemu.

Autorzy raportu z Elastic podkreślają, że każdy etap infekcji został zaprojektowany tak, aby maksymalnie kamuflować obecność malware. PUMAKIT nie został jeszcze przypisany żadnej znanej grupie haktywistycznej lub operatorowi APT, jednak jego poziom zaawansowania czyni go wyjątkowo groźnym i trudnym do zwalczania zagrożeniem.

Eksperci podsumowują, że PUMAKIT reprezentuje rosnącą tendencję do tworzenia wyrafinowanych narzędzi złośliwego oprogramowania skierowanych przeciwko systemom Linux. Wykorzystanie takich technik, jak hakowanie syscalli, egzekucja z pamięci czy unikalne metody eskalacji uprawnień, wskazuje na ewolucję w sposobach atakowania środowisk pracy serwerów oraz urządzeń opartych o systemy uniksowe.

Share186Tweet117
Poprzedni artykuł

Przenośne MRI i sztuczna inteligencja usprawniają diagnostykę Alzheimera dzięki precyzji i niskim kosztom

Następny artykuł

FBI Rozbija Platformę Rydox Marketplace – 7,600 Skradzionych Danych Osobowych i Kryptowaluty o Wartości 225 Tysięcy Dolarów Przejęte

Następny artykuł

FBI Rozbija Platformę Rydox Marketplace – 7,600 Skradzionych Danych Osobowych i Kryptowaluty o Wartości 225 Tysięcy Dolarów Przejęte

Zapraszamy

Polub nas i bądź na bieżąco

Ostatnie Wpisy

  • Apple szykuje inteligentne okulary z AI – premiera planowana na 2026 rok 26 maja, 2025
  • Apple rezygnuje z planów wprowadzenia Apple Watcha z kamerą 26 maja, 2025
  • Apple planuje wielką modernizację aplikacji Kalendarz 26 maja, 2025
  • Tłumaczenie w czasie rzeczywistym w Google Meet ułatwia komunikację bez barier językowych 26 maja, 2025
  • Nowe funkcje Gmaila ułatwiają inteligentne odpowiadanie i szybkie planowanie wiadomości 26 maja, 2025

Informacje

  • Polityka prywatności
  • Redakcja
  • Współpraca
  • REDAKCJA
  • WSPÓŁPRACA
  • POLITYKA PRYWATNOŚCI

Welcome Back!

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In

Add New Playlist

No Result
View All Result
  • Apple
  • Sztuczna inteligencja AI
  • Smartfony
  • Nauka i technika
  • Komputery & Tablety
  • Security
  • Nowinki
    • Recenzje
    • Poradniki
    • iDared Serwis
      • Serwis iPhone
      • Serwis MacBook
      • Serwis Telefonów Samsung
      • Serwis Telefonów Xiaomi