Nieuwe Linux-malware Pumakit: Een Sluwe Bedreiging voor Verouderde Systemen
Onlangs heeft de cybersecuritygemeenschap kennisgemaakt met Pumakit, een nieuwe Linux-malwarerootkit die zich op ingenieuze wijze weet te verbergen op geïnfecteerde systemen. Deze geavanceerde rootkit, samengesteld uit verschillende componenten, richt zich uitsluitend op Linux-versies ouder dan 5.7. De ontdekking van Pumakit markeert een zorgwekkende ontwikkeling in de wereld van Linux-malware, die de afgelopen maanden steeds meer terrein lijkt te winnen.
Recentelijk werd ook de eerste UEFI-bootkit voor het open-source besturingssysteem ontdekt, genaamd BootKitty. Met de opkomst van Pumakit komt er een nieuwe dreiging bij die de veiligheid van Linux-systemen in gevaar brengt.
Ontdekking en Identificatie
Pumakit werd in september geïdentificeerd door Elastic na een verdachte upload naar VirusTotal. Deze upload betrof een gemodificeerde versie van de cron-binary, waarin de rootkit verborgen zat. Tot op heden is het onbekend wie verantwoordelijk is voor deze malware en welke specifieke doelwitten zijn gekozen.
Doel en Werking
Het primaire doel van Pumakit is om zijn aanwezigheid op systemen te verbergen door gebruik te maken van geavanceerde verbergingsmethoden en technieken voor privilege-escalatie. Dergelijke methoden worden vaak toegepast door aanvallers die zich richten op kritieke infrastructuren of zakelijke netwerken, met als doel spionage, diefstal van financiële gegevens of verstoring van processen.
Pumakit is opgebouwd uit verschillende componenten, waaronder een dropper, geheugenresistente uitvoerbare bestanden, een kernelmodule-rootkit en een shared object (SO) ‘userland rootkit’. De infectie vindt plaats via een meerstapsproces, te beginnen met een dropper genaamd cron. Deze dropper voert ingebouwde kwaadaardige payloads uit, zoals ‘/memfd: tgt’ en ‘/memfd: wpn’, volledig vanuit het geheugen.
Infectieproces
In de tweede fase van de infectie draait een payload in een zogenoemd child-proces. Dit proces voert systeemcontroles uit en manipuleert kernelimages. Uiteindelijk wordt een LKM-rootkitmodule, genaamd puma.ko, in de systeemkernel geladen. Deze kernelmodule bevat een Kitsune SO-component, een ‘userland’ rootkit die zichzelf injecteert in processen die LD_PRELOAD gebruiken. Hierdoor kan de rootkit systeemaanroepen op gebruikersniveau onderscheppen.
Verborgen Privilege-Escalatie
In een latere fase van de infectie voert Pumakit een verborgen privilege-escalatie uit. Dit gebeurt via een conditionele activatie, waarbij de rootkit controleert op specifieke kernelfuncties, de status van secure boot en andere vereisten voordat het zichzelf volledig activeert. De userland rootkit Kitsune SO breidt de verberg- en controlemechanismen verder uit naar gebruikersniveaus. Het onderschept systeemaanroepen, verbergt bestanden, processen en netwerkverbindingen die aan de rootkit zijn gekoppeld. Ook kan het dynamisch andere bestanden verbergen op basis van vooraf ingestelde criteria, waardoor kwaadaardige bestanden volledig onzichtbaar worden voor eindgebruikers en systeembeheerders.
Daarnaast verzorgt Kitsune SO de communicatie met de command-and-control (C2) server. Het ontvangt commando’s, stuurt deze door naar de LKM-rootkit en verstuurt systeeminformatie en configuraties terug naar de aanvallers.
Specifieke Doelgroep
Pumakit maakt gebruik van de functie kallsyms_lookup_name(), die het mogelijk maakt om systeemgedrag te manipuleren. Dit geeft aan dat de rootkit zich specifiek richt op Linux-versies ouder dan 5.7, aangezien nieuwere versies deze functie hebben verwijderd en daardoor niet meer toegankelijk zijn voor kernelmodules.
Detectie en Bescherming
Op dit moment is er nog geen oplossing beschikbaar voor Pumakit, maar Elastic Security Labs heeft een YARA-regel uitgebracht waarmee systeembeheerders de rootkit kunnen detecteren. Het is van cruciaal belang dat organisaties hun systemen up-to-date houden en de nodige beveiligingsmaatregelen nemen om zich te beschermen tegen deze en andere opkomende bedreigingen.
Conclusie
Pumakit is een verontrustende ontwikkeling in het landschap van Linux-malware. De geavanceerde technieken die deze rootkit gebruikt, onderstrepen de noodzaak voor voortdurende waakzaamheid en proactieve beveiligingsstrategieën. Organisaties moeten zich bewust zijn van de risico's die voortkomen uit het gebruik van verouderde systemen en ervoor zorgen dat ze de nodige stappen ondernemen om hun infrastructuur te beschermen tegen deze sluwe aanvallen.