Sicurezza Informatica

PUMAKIT: analisi del RootKit malware Linux

da Livio Varriale
scritto da Livio Varriale 0 commenti 3 minuti leggi

PUMAKIT rappresenta una delle minacce malware più sofisticate degli ultimi tempi, caratterizzata da un’architettura a più stadi con funzionalità avanzate per evitare il rilevamento. Analizziamo in dettaglio il suo design, le tecniche di occultamento e i metodi di attacco per comprendere l’impatto su sistemi Linux e come proteggersi da questa minaccia.

Architettura a più stadi: il cuore di PUMAKIT

image 214
PUMAKIT: analisi del RootKit malware Linux 7

PUMAKIT si basa su una struttura a più livelli che combina:

Annunci
  • Un dropper identificato come cron.
  • Due eseguibili residenti in memoria (/memfd:tgt e /memfd:wpn).
  • Un modulo rootkit LKM denominato “PUMA”.
  • Una libreria condivisa (SO), chiamata “Kitsune”, per la gestione delle interazioni con il rootkit in spazio utente.

Il malware si attiva solo quando alcune condizioni specifiche, come la compatibilità con il kernel, sono soddisfatte. Questo approccio incrementa la sua furtività, riducendo le possibilità di rilevamento.

La fase iniziale parte con il dropper, che utilizza tecniche fileless per caricare i payload direttamente nella memoria. Gli eseguibili /memfd fungono rispettivamente da carico utile e caricatore del rootkit, che, una volta attivato, implementa modifiche al kernel, come l’aggancio di 18 syscall, per manipolare le funzioni di sistema e nascondere la sua presenza.

Meccanismi di occultamento e funzionalità del rootkit

Il modulo LKM di PUMAKIT utilizza il tracciatore interno ftrace() per intercettare le syscall e alterare il loro comportamento. Le sue capacità includono:

  • Escalation dei privilegi: attraverso il syscall rmdir(), che consente all’aggressore di acquisire privilegi di root.
  • Occultamento: nasconde file, processi e directory, rendendo difficile il rilevamento tramite strumenti di sistema.
  • Comunicazione C2: stabilisce canali sicuri con server di comando e controllo per inviare dati esfiltrati o ricevere istruzioni.
  • Anti-debugging: implementa misure avanzate per resistere all’analisi forense e al debugging.

Nella prossima parte, approfondiremo le tecniche di rilevamento e prevenzione, così come le implicazioni di sicurezza legate a questa minaccia.

Tecniche di rilevamento e prevenzione

PUMAKIT presenta sfide significative per i sistemi di sicurezza tradizionali a causa delle sue capacità avanzate. Tuttavia, ci sono metodi e strumenti per identificarlo e mitigare il rischio.

Rilevamento dei segnali di PUMAKIT

  1. Comportamento del dropper: Il file cron genera eseguibili in memoria utilizzando syscall come execveat(), una tecnica rara ma efficace per eseguire payload senza scriverli su disco. Questi eventi possono essere identificati analizzando processi con file descriptor anomali (/memfd).
  2. Indicatori di attività rootkit:
    • La creazione di file temporanei (/tmp/script.sh) e il loro utilizzo per verificare condizioni di compatibilità del kernel.
    • Alterazioni al kernel, come la modifica dei syscall tramite il tracciatore ftrace().
    • La presenza di simboli unici associati al rootkit, come .puma-config e zarya, visibili durante un’analisi dettagliata della memoria del sistema.
  3. Escalation di privilegi: La syscall rmdir() viene utilizzata per scopi non convenzionali, come ottenere privilegi di root o interagire con il rootkit. Eventi insoliti associati a rmdir() possono essere monitorati per rilevare attività sospette.

Prevenzione e mitigazione

  1. YARA signatures: Elastic Security ha sviluppato una firma YARA che identifica componenti del malware, tra cui il dropper, il rootkit e la libreria condivisa Kitsune.
  2. Strumenti di monitoraggio avanzato:
    • Configurare sistemi di monitoraggio per eventi kernel insoliti, come l’utilizzo di syscall non comuni (execveat()) o comportamenti associati a moduli kernel non firmati.
    • Implementare soluzioni di log monitoring per rilevare messaggi specifici, ad esempio, il caricamento di moduli non autorizzati o file con intestazioni ELF sospette.
  3. Aggiornamenti del sistema: Mantenere i sistemi aggiornati con versioni recenti del kernel per sfruttare migliorie di sicurezza, come la rimozione dell’esportazione della funzione kallsyms_lookup_name() nei kernel successivi al 5.7.
  4. Protezione a livello di rete: Bloccare connessioni verso server noti utilizzati da PUMAKIT e monitorare comunicazioni anomale che potrebbero indicare attività C2.

Implicazioni di sicurezza e considerazioni finali
PUMAKIT rappresenta un esempio di come le minacce avanzate stiano evolvendo per sfruttare vulnerabilità nei sistemi Linux. La sua capacità di operare fileless, nascondersi con sofisticati meccanismi di rootkit e adattarsi a diverse configurazioni di sistema lo rende una minaccia significativa. Un approccio proattivo, combinato con strumenti di rilevamento avanzati, è essenziale per mitigare i rischi associati a malware di questo livello.

Potreste Essere Interessati

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Si può anche come

Rayhunter: strumento open-source dell’EFF per rilevare la sorveglianza...

Morto Carmine Gallo, ex superpoliziotto ai domiciliari per...

Apple: novità in arrivo con visionOS 3, iOS...

EncryptHub: nuova minaccia malware multi-stadio che colpisce utenti...

Matrice Digitale colpisce ancora: ACN sotto i riflettori,...

SilentCryptoMiner: la nuova minaccia diffusa su YouTube

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara