TECHitMedia.NET

Бъди в крак с технологиите!

IT Новини

PUMAKIT: Нов руткит за Linux, който е почти невъзможно да бъде открит

admin 0
Сподели с приятели.

Изследователи в областта на киберсигурността са идентифицирали нов злонамерен руткит за Linux, наречен PUMAKIT. Той е способен да прикрива присъствието си, да увеличава привилегиите си и да избягва откриване от системните инструменти. Този зареждащ се модул на ядрото (LKM) разполага със сложни механизми за прикриване, което го прави сериозна заплаха.

Според Elastic Security Labs, този руткит използва многоетапна архитектура, която включва дроп-компонент на име „cron“, два изпълними файла в паметта („/memfd:tgt“ и „/memfd:wpn“), LKM руткит („puma.ko“) и библиотека Kitsune („lib64/libs.so“), която се изпълнява в потребителското пространство. Тези елементи работят заедно, за да скрият злонамерената му дейност.

Специалната характеристика на PUMAKIT е използването на вътрешния проследяващ механизъм на Linux (ftrace) за инжектиране на 18 системни извиквания и модифициране на ключови функции на ядрото, като например „prepare_creds“ и „commit_creds“. Това позволява на руткита да променя поведението на системата и да осигурява достъп до скрити функции.

Модулът се активира само когато са изпълнени определени условия, като например проверки за безопасност при зареждане или наличие на символна таблица на ядрото. Тези условия се проверяват чрез сканиране на ядрото, а всички необходими файлове са вградени в дропъра във формат ELF. Зловредният софтуер използва и нестандартни методи за комуникация, включително извикване на rmdir() за повишаване на привилегиите.

Всичко това осигурява допълнителна сложност при откриването и блокирането на PUMAKIT.

Всяка стъпка от заразяването е внимателно скрита – от използването на файлове, съхранявани само във временната памет, до извършването на серия от проверки преди стартирането на руткита. Инструментите за анализ показаха, че дори стандартни елементи като „/memfd:tgt“ се основават на обща бинарна програма на Ubuntu Cron, докато „/memfd:wpn“ служи за зареждащ модул на руткита.

Понастоящем PUMAKIT не е свързан с никоя известна хакерска група, но изследователите отбелязват, че сложната му архитектура показва нарастващата сложност на зловредния софтуер за Linux. Тези разработки се превръщат във все по-сериозна заплаха за системите на тази платформа.

Източник: Kaldata

TECHitMedia.NET
Powered by  GDPR Cookie Compliance
Правила за бисквитките:

Относно бисквитките!

Тази политика обяснява подробно как “TECHitMedia.NET” използва всяка информация, събрана по време на всяка сесия на ползване от вас (наричана по-долу “Вашата информация”).

Вашата информация се събира по два начина. Първо, разглеждането на “ TECHitMedia.NET” ще накара софтуерът да създаде няколко бисквитки, представляващи малки текстови файлове, които се свалят при временните файлове на браузъра на Вашия компютър. Първите две бисквитки съдържат само потребителски идентификатор (наричан по-долу “user-id”) и анонимен идентификатор на сесията (наричан по-долу “session-id”), които са Ви автоматично назначени от софтуера. Трета бисквитка се създадена при преглеждане на теми в “ TECHitMedia.NET ” и се използва за запомняне на прочетените от Вас теми, подобрявайки работата Ви.

Ние можем също така да създадем бисквитки отвъд софтуера при разглеждане на “ TECHitMedia.NET ”, въпреки че те са извън обхвата на този документ, който е предназначен само за покриване на страници, създадени от софтуера. Вторият начин, по който ние събираме Вашата информация, е това какво Вие изпращате към нас. Това може да бъде, и не е ограничено до: писане като анонимен потребител (наричани по-долу “анонимни мнения”), регистриране в “ TECHitMedia.NET ” (наричан по-долу “Вашият акаунт”) и мнения, написани от Вас след регистрация използвайки акаунт (наричани по-долу “Вашите мнения”).

Вашият акаунт ще съдържа минимум уникално идентифициращо име (наричано по-долу “Вашето потребителско име”), лична парола за влизане във Вашия акаунт (наричана по-долу “Вашата парола”) и личен, валиден e-mail адрес (наричан по-долу “Вашият e-mail”). Вашата информация за Вашия акаунт в “ TECHitMedia.NET ” е защитена от законите за защита на данни, приложими в нашата страна. Всякаква информация, различна от Вашето потребителско име, Вашата парола и Вашия e-mail, която се изисква от “ TECHitMedia.NET ” в процеса на регистрация е или задължителна, или незадължителна, по преценка на “ TECHitMedia.NET ”. Във всички случаи, Вие можете да определите каква информация от Вашия акаунт е видима публично. При това, в рамките на Вашия акаунт, Вие можете да се запишете или да се отпишете от получаване на автоматично генерирани писма оt софтуера.

Вашата парола е шифрована (еднопосочно хеширана) така че да бъде в безопасност. Въпреки това е препоръчително да не използвате същата парола в други сайтове. Вашата парола е средството за достъп до Вашия акаунт в “ TECHitMedia.NET ”, затова моля пазете я внимателно и знайте, че при каквито и да било обстоятелства, никой от “ TECHitMedia.NET ”, или друга трета страна няма да поиска Вашата парола. Ако се случи да забравите Вашата парола за Вашия акаунт, можете да използвате функцията „Забравена парола“, предоставена от сайта. Този процес ще поиска от Вас да изпратите Вашето потребителско име и Вашия e-mail, след което TECHitMedia.NET софтуерът ще генерира нова парола, за да възстановите Вашия акаунт.