E um novo rootkit Pumakit Linux stealthy é descoberto em circulação, segundo a Elastic Security. Confira os detalhes dessa ameaça.
Ouça este artigo
Recentemente, você deve ficar em alerta sobre uma nova malware chamada Pumakit. Este rootkit de Linux é extremamente perigoso e usa técnicas avançadas para se esconder em sistemas. A Elastic Security detectou o Pumakit em um upload suspeito e o malware pode ser usado por atores de ameaça para atacar infraestruturas críticas. Neste artigo, você vai entender como o Pumakit funciona e quais são os riscos que ele apresenta.
- O Pumakit usa técnicas avançadas para se esconder.
- Possui várias partes, incluindo um dropper e um rootkit no núcleo do sistema.
- Foi encontrado em um upload suspeito no VirusTotal em 4 de setembro de 2024.
- É projetado para sistemas Linux mais antigos, antes da versão 5.7.
- Pumakit pode esconder arquivos, processos e conexões de rede, tornando-se invisível para os usuários.
Uma Nova Ameaça: O Malware Pumakit
Você pode ter ouvido falar sobre o Pumakit, um malware projetado para sistemas Linux. Este vírus é perigoso porque utiliza técnicas de escalonamento de privilégios e furtividade, dificultando sua detecção. Vamos entender como ele funciona e como você pode se proteger.
O Que É o Pumakit?
O Pumakit é um rootkit que opera em várias camadas, consistindo em um conjunto de componentes que trabalham juntos. Entre esses componentes estão um dropper, executáveis na memória, um módulo de kernel rootkit e um rootkit de userland chamado Kitsune SO. Essa combinação torna o Pumakit uma ameaça sofisticada.
Como o Pumakit Foi Descoberto?
A descoberta do Pumakit foi feita pela Elastic Security, que encontrou um arquivo suspeito chamado ‘cron’ no serviço de upload VirusTotal, datado de 4 de setembro de 2024. Não se tem informações sobre quem está usando esse malware ou quais sistemas ele está atacando. Normalmente, ferramentas como essa são utilizadas por atores de ameaças avançadas que visam infraestruturas críticas e sistemas empresariais para realizar espionagem, roubo financeiro e operações de interrupção.
O Processo de Infecção do Pumakit
O Pumakit utiliza um processo de infecção em várias etapas. Tudo começa com o dropper chamado ‘cron’, que executa cargas úteis diretamente da memória. As cargas úteis são denominadas ‘/memfd:tgt’ e ‘/memfd:wpn’. A carga útil ‘/memfd:wpn’ é executada em um processo filho e realiza verificações de ambiente, manipulação de imagem do kernel e, eventualmente, implanta o módulo rootkit do LKM (Loadable Kernel Module) chamado ‘puma.ko’ no kernel do sistema.
A Estrutura do Rootkit
Dentro do rootkit LKM, está o Kitsune SO, que atua como um rootkit de userland, injetando-se em processos usando ‘LD_PRELOAD’ para interceptar chamadas de sistema em nível de usuário. O funcionamento do rootkit depende de uma ativação condicional, onde ele verifica símbolos específicos do kernel, o status de inicialização segura e outros pré-requisitos antes de ser carregado.
Manipulação do Comportamento do Sistema
O Pumakit utiliza a função ‘kallsymslookupname()’ para manipular o comportamento do sistema. Ele foi projetado para afetar kernels Linux anteriores à versão 5.7, pois versões mais novas não exportam essa função. Segundo especialistas da Elastic, o rootkit LKM manipula o sistema usando a tabela de chamadas e depende da ‘kallsymslookupname()’ para resolução de símbolos.
Como o Pumakit Escala Privilégios
O Pumakit pode escalar privilégios e executar comandos maliciosos através de funções do kernel como ‘preparecreds’ e ‘commitcreds’, que são abusadas para modificar credenciais de processos, concedendo privilégios de root. Isso permite que o rootkit se esconda de logs do kernel, ferramentas de sistema e antivírus, além de ocultar arquivos em diretórios e objetos de listas de processos.
Protegendo-se Contra o Pumakit
Se você suspeita que seu sistema pode estar comprometido pelo Pumakit, é essencial tomar medidas para se proteger. Aqui estão algumas dicas:
- Mantenha seu sistema atualizado: Use a versão mais recente do Linux, pois as novas versões têm proteções contra este tipo de rootkit. Confira como atualizar seu sistema.
- Use ferramentas de detecção: A Elastic Security publicou uma regra YARA que pode ajudar administradores de sistemas Linux a detectar ataques do Pumakit. Utilize essas ferramentas em suas rotinas de segurança, como o ClamAV.
- Verifique logs regularmente: Monitore logs do sistema para qualquer atividade suspeita que possa indicar a presença do Pumakit.
- Eduque-se sobre segurança cibernética: Aumente seu conhecimento sobre como os malwares funcionam e como se proteger.
O Papel do Kitsune SO
O Kitsune SO trabalha em conjunto com o Pumakit para estender suas capacidades de furtividade e controle. Ele intercepta chamadas de sistema em nível de usuário e altera o comportamento de comandos comuns como ls, ps, netstat, top, htop e cat, permitindo que o malware esconda arquivos, processos e conexões de rede associados a ele.
Comunicação com o Servidor de Comando e Controle
O Kitsune SO também gerencia todas as comunicações com o servidor de comando e controle (C2), transmitindo comandos para o rootkit LKM e enviando informações de configuração e do sistema para os operadores do malware. Isso significa que, mesmo que você tente remover o Pumakit, ele pode se comunicar com seu controlador e receber novas instruções.