Die Anzahl an Malware für Linux-Systeme steigt stetig. Gerade haben die Experten von Elastic die Linux-Malware PUMAKIT entdeckt. Sie verfügt sogar über einen Tarnmodus, während sie mit ihrem C2-Server kommuniziert. Eine erste Analyse.
Elastic Security Labs hat PUMAKIT entdeckt, eine raffinierte Linux-Malware. PUMAKIT nutzt fortschrittliche Stealth-Mechanismen, um ihre Präsenz zu verbergen und um die Kommunikation mit Command-and-Control-Servern aufrechtzuerhalten – und ist damit nur sehr schwer zu entdecken.
PUMAKIT ist ein hochentwickeltes Schadprogramm, das ursprünglich bei der routinemäßigen Bedrohungssuche auf VirusTotal entdeckt wurde und nach den vom Entwickler eingebetteten Zeichenfolgen benannt ist, die in seiner Binärdatei gefunden wurden. Seine mehrstufige Architektur besteht aus einem Dropper ( cron), zwei speicherresidenten ausführbaren Dateien ( /memfd:tgtund /memfd:wpn), einem LKM-Rootkit-Modul und einem Shared Object (SO)-Userland-Rootkit.
Wichtigste Details der Linux-Malware
- Multi-Stage-Architektur: Die Malware kombiniert einen Dropper, zwei memory-residente ausführbare Dateien, ein LKM-Rootkit und ein SO-Userland-Rootkit und wird nur unter bestimmten Bedingungen aktiviert.
- Erweiterte Stealth-Mechanismen: Hängt sich mit ftrace() in 18 Syscalls und mehrere Kernel-Funktionen ein, um Dateien, Verzeichnisse und das Rootkit selbst zu verstecken und gleichzeitig Debugging-Versuche zu umgehen.
- Einzigartige Privilegien-Eskalation: Nutzt unkonventionelle Hooking-Methoden wie den Syscall rmdir() zur Eskalation von Privilegien und zur Interaktion mit dem Rootkit.
- Kritische Funktionalitäten: Umfasst Privilegienerweiterung, C2-Kommunikation, Anti-Debugging und Systemmanipulation, um Persistenz und Kontrolle zu erhalten.
Eine detailliertere Analyse der Linux-Malware und seiner kompletten Funktion haben die Experten der Elastic Security Labs in einem Blog-Beitrag vorgestellt.
Mehr bei Elastic.co
Über Elastic Elastic ist eine führende Plattform für Suche-basierte Lösungen. Elastic weiß, dass es nicht nur um die Daten, sondern auch um die Antworten geht. Mit der Elasticsearch-Plattform kann jede und jeder die Antworten finden, die sie oder er benötigt – in Echtzeit und unter Nutzung des gesamten Datenbestands, so groß dieser auch sein mag. Elastic liefert komplette, cloudbasierte und KI-gestützte Lösungen für Enterprise Security, Observability und Suche auf der Basis der Elasticsearch-Plattform, einer Entwicklungsplattform, die bereits von Tausenden von Unternehmen genutzt wird, darunter mehr als 50 % der „Fortune 500“-Unternehmen.