Elastic Security, Linux sistemlerini hedef alan Pumakit adında yeni bir rootkit zararlı yazılımını keşfetti. Bu yazılım, sistemlerde gizlenmek ve yetkileri yükseltmek için gelişmiş teknikler kullanıyor.
Pumakit Nedir?
Kötü amaçlı yazılım, bir dropper, bellekte yerleşik yürütülebilir dosyalar, bir çekirdek modülü kök seti ve bir paylaşımlı nesne (SO) kullanıcı alanı kök setini içeren çok bileşenli bir settir. Bu zararlı yazılım, özellikle eski Linux çekirdek sürümlerini hedef alarak sistemlerde uzun süre fark edilmeden çalışmayı amaçlıyor.
Pumakit Nasıl Çalışıyor?
Pumakit, çok aşamalı bir bulaşma zinciri kullanıyor. İlk olarak, ‘cron’ adlı bir dropper devreye giriyor ve tüm yükleri bellekte çalıştırıyor. Daha sonra ‘/memfd:tgt’ ve ‘/memfd:wpn’ adlı yükleri kullanarak çekirdek modülü rootkit olan ‘puma.ko’ dosyasını yüklüyor.
Bu modül, Kitsune SO adlı bir kullanıcı alanı rootkit’iyle birlikte çalışarak saldırganların sistemde tam kontrol sağlamasına yardımcı oluyor. LD_PRELOAD tekniğini kullanarak sistem çağrılarını engelliyor ve dosyaları, süreçleri ve ağ bağlantılarını gizliyor.
Pumakit, sistemi manipüle etmek için kallsyms_lookup_name() işlevini kullanıyor. Ancak bu işlev, yalnızca Linux çekirdek 5.7 sürümünden önceki sürümlerde mevcut olduğu için rootkit, daha eski çekirdek sürümlerini hedefliyor.
Çekirdek seviyesinde, 18 farklı sistem çağrısını ve çeşitli çekirdek işlevlerini engellemek için ftrace tekniğini kullanıyor.
- Yetki yükseltmek için prepare_creds ve commit_creds işlevlerini kötüye kullanıyor.
- Çekirdek günlüklerinden, sistem araçlarından ve antivirüslerden kendini gizleyebiliyor.
- Dosyaları, dizinleri ve süreçleri tamamen görünmez hale getirebiliyor.
Kullanıcı alanında, Kitsune SO, ls, ps, netstat, top, htop, ve cat gibi komutların davranışlarını değiştirerek zararlı yazılımları kullanıcı ve sistem yöneticilerinden gizliyor. Pumakit şu tehditlerde bulunabilir;
- C2 sunucusuyla iletişim kurma: Komutları rootkit’e aktarıyor ve sistem bilgilerini saldırganlara iletiyor.
- Dinamik dosya gizleme: Belirli kriterlere göre dosya ve dizinleri gizleyerek sistem yöneticilerinin müdahalesini engelliyor.
- Tam kontrol sağlama: Ağ bağlantılarını, süreçleri ve sistem yapılandırmalarını değiştirebiliyor.
Elastic Security, Pumakit saldırılarını tespit etmek için bir YARA kuralı yayınladı. Sistem yöneticileri, bu kuralları kullanarak sistemlerini tarayabilir ve olası enfeksiyonları tespit edebilir.