详细内容或原文请订阅后点击阅览
PUMAKIT,一种使用先进隐身机制的复杂 rootkit
研究人员发现了 PUMAKIT,这是一种能够隐藏文件、提升权限以及逃避系统工具和检测的 Linux rootkit。Elastic Security Lab 的研究人员发现了一种名为 PUMAKIT 的新可加载内核模块 (LKM) rootkit,它支持高级逃避机制。PUMAKIT 采用多阶段设计,包括 dropper、内存驻留可执行文件和 rootkit。它利用名为 […] 的 LKM rootkit
来源:Security Affairs _恶意软件PUMAKIT,一种使用高级隐身机制的复杂 rootkit
PUMAKIT,一种使用高级隐身机制的复杂 rootkit
Pierluigi Paganini Pierluigi Paganini 2024 年 12 月 15 日研究人员发现了 PUMAKIT,这是一种能够隐藏文件、提升权限以及逃避系统工具和检测的 Linux rootkit。
Elastic Security Lab 的研究人员发现了一种名为 PUMAKIT 的新型可加载内核模块 (LKM) rootkit,它支持高级逃避机制。
PUMAKIT 采用多阶段设计,包括一个 dropper、驻留在内存中的可执行文件和一个 rootkit。它利用一个名为“PUMA”的 LKM rootkit,使用 ftrace 钩子来修改核心系统功能。
该恶意软件使用 ftrace() 挂接 18 个系统调用和几个内核函数,以隐藏文件、目录和 rootkit 本身,同时逃避调试尝试。
ftrace()
开发人员专注于隐秘部署,该恶意软件仅在特定条件下激活,例如安全启动检查或内核符号可用性,将 ELF 二进制文件嵌入其 dropper 中。
“PUMAKIT 是一种复杂的恶意软件,最初是在 VirusTotal 的常规威胁搜寻中发现的,并以在其二进制文件中发现的开发人员嵌入的字符串命名。” Elastic Security Lab 发布的报告中写道。 “内核模块的主要功能包括特权提升、隐藏文件和目录、隐藏自身以躲避系统工具、反调试措施以及与命令和控制 (C2) 服务器建立通信。”
“PUMAKIT 是一种复杂的恶意软件,最初是在 VirusTotal 的例行威胁搜寻中发现的,并以在其二进制文件中发现的开发人员嵌入的字符串命名。”Elastic Security Lab 发布的报告中写道。“内核模块的主要功能包括权限提升、隐藏文件和目录、隐藏自身以躲避系统工具、反调试措施以及与命令和控制 (C2) 服务器建立通信。” 报告kprobes
kallsyms_lookup_name()
(
–