Malware rootkit baru bernama Pumakit ditemukan menginfeksi sistem Linux dengan teknik eskalasi hak istimewa yang canggih dan metode siluman untuk menyembunyikan keberadaannya. Elastic Security mendeteksi malware ini melalui unggahan file mencurigakan bernama 'cron' di VirusTotal pada 4 September 2024.
Pumakit menggunakan proses infeksi multi-tahap, dimulai dengan dropper 'cron' yang memuat payload ke memori dan menginstal modul rootkit kernel 'puma.ko.' Modul ini dilengkapi Kitsune SO, rootkit userland yang menyisipkan diri ke proses menggunakan 'LD_PRELOAD' untuk mencegat sistem panggilan pengguna.
Pumakit menargetkan kernel Linux sebelum versi 5.7, memanfaatkan fungsi 'kallsyms_lookup_name()' untuk mengubah perilaku sistem dan mengaitkan 18 syscall dengan 'ftrace' guna memperoleh akses root, mengeksekusi perintah, dan menyembunyikan aktivitas berbahaya. Rootkit ini menyembunyikan keberadaannya dari log kernel, alat sistem, dan antivirus, serta dapat mengaburkan file, proses, dan koneksi jaringan tertentu. Kitsune SO juga bertugas berkomunikasi dengan server C2, menyampaikan perintah, dan mengirimkan informasi sistem kepada operator.
Elastic Security telah merilis aturan YARA untuk membantu administrator mendeteksi serangan Pumakit.
Sumber:
https://www.bleepingcomputer.com/
news/security/new-stealthy-
pumakit-linux-rootkit-malware
-spotted-in-the-wild/
Pumakit menggunakan proses infeksi multi-tahap, dimulai dengan dropper 'cron' yang memuat payload ke memori dan menginstal modul rootkit kernel 'puma.ko.' Modul ini dilengkapi Kitsune SO, rootkit userland yang menyisipkan diri ke proses menggunakan 'LD_PRELOAD' untuk mencegat sistem panggilan pengguna.
Pumakit menargetkan kernel Linux sebelum versi 5.7, memanfaatkan fungsi 'kallsyms_lookup_name()' untuk mengubah perilaku sistem dan mengaitkan 18 syscall dengan 'ftrace' guna memperoleh akses root, mengeksekusi perintah, dan menyembunyikan aktivitas berbahaya. Rootkit ini menyembunyikan keberadaannya dari log kernel, alat sistem, dan antivirus, serta dapat mengaburkan file, proses, dan koneksi jaringan tertentu. Kitsune SO juga bertugas berkomunikasi dengan server C2, menyampaikan perintah, dan mengirimkan informasi sistem kepada operator.
Elastic Security telah merilis aturan YARA untuk membantu administrator mendeteksi serangan Pumakit.
Sumber:
https://www.bleepingcomputer.com/
news/security/new-stealthy-
pumakit-linux-rootkit-malware
-spotted-in-the-wild/