Aktuelles
Elastic Security Labs découvre le logiciel malveillant Linux avancé PUMAKIT
décembre 2024 par Elastic Security Labs
Elastic Security Labs a découvert PUMAKIT, un malware Linux sophistiqué qui utilise des mécanismes de furtivité avancés pour dissimuler sa présence et maintenir la communication avec les serveurs de commande et de contrôle, ce qui le rend difficile à détecter.
Voici quelques détails notables sur ce logiciel malveillant :
• Architecture en plusieurs étapes : Le logiciel malveillant combine un dropper, deux exécutables résidant en mémoire, un rootkit LKM et un rootkit SO userland, qui ne s’activent que dans des conditions spécifiques.
• Mécanismes de furtivité avancés : Accroche 18 appels syscall et plusieurs fonctions du noyau à l’aide de la fonction ftrace() pour cacher des fichiers, des répertoires et le rootkit lui-même, tout en échappant aux tentatives de débogage.
• Élévation unique des privilèges : Utilise des méthodes de crochetage non conventionnelles telles que l’appel de système rmdir() pour élever les privilèges et interagir avec le rootkit.
• Fonctionnalités critiques : Comprend l’escalade des privilèges, la communication C2, l’anti-débogage et la manipulation du système pour maintenir la persistance et le contrôle.
