Neuer Linux-Rootkit „Pumakit“ entdeckt: Das musst Du wissen

Loading

Ein neues Malware-Rootkit namens Pumakit wurde kürzlich entdeckt und stellt eine Bedrohung für Linux-Systeme dar. Es nutzt fortschrittliche Verschleierungsmethoden, um sich unbemerkt auf betroffenen Systemen zu verstecken. Aktuell betrifft die Schadsoftware ausschließlich Linux Kernel Versionen älter als 5.7.

Das Sicherheitsunternehmen Elastic identifizierte Pumakit im September, nachdem ein verdächtiges Binary von „cron“ auf VirusTotal hochgeladen wurde. Dieses Binary enthielt den Rootkit-Code. Wer hinter der Entwicklung von Pumakit steckt und welche Ziele angegriffen werden, bleibt bislang unklar.

Mehrstufiger Infektionsprozess

Pumakit wird über einen Dropper namens „cron“ auf das System geladen. Im ersten Schritt führt dieser schädliche Payloads direkt aus dem Arbeitsspeicher aus. Im zweiten Schritt manipuliert die Malware Kernel-Images und lädt ein Rootkit-Modul namens „puma.ko“ in den Systemkernel. Ein weiterer Bestandteil, das „Kitsune SO“-Modul, versteckt die Schadsoftware auf Benutzerebene, indem es Systemaufrufe abfängt und Dateien sowie Prozesse tarnt.

Ziel: Verstecken und Kontrolle

Der Rootkit-Bestandteil Kitsune SO übernimmt zusätzlich die Kommunikation mit einem Command-and-Control-Server (C2). Es leitet Befehle an den Kernel-Rootkit weiter und sendet sensible Systeminformationen zurück an die Angreifer. Ziel dieser Techniken ist es kritische Infrastrukturen oder Unternehmensnetzwerke auszuspionieren, Daten zu stehlen oder Prozesse zu stören.

Nur ältere Linux Kernel Versionen betroffen

Pumakit nutzt die Funktion „kallsyms_lookup_name()“, die in neueren Linux-Versionen entfernt wurde. Dadurch können Linux-Versionen ab 5.7 nicht infiziert werden. Für die Malware gibt es derzeit keine direkte Lösung. Allerdings hat Elastic Security Labs eine YARA-Regel veröffentlicht, die Administratoren zur Erkennung von Pumakit einsetzen können.

2 Antworten zu „Neuer Linux-Rootkit „Pumakit“ entdeckt: Das musst Du wissen“

  1. AndreasH

    > Dadurch können Linux-Versionen ab 5.7 nicht infiziert werden.

    Also alles jünger als März 2020 (Release vom 5.6) ist nicht betroffen.

    Da frage ich mich, wie lange es „Pumakit“ schon gibt und weshalb es jetzt erst erkannt wurde. – Oder falls es “neu” ist: Wer programmiert sowas denn jetzt noch für so alte Kernel?

    Höchstens als LTS-Kernel werden die noch genutzt, wobei es aber immer mal wieder zu Backport-Problemen kommt (z. B. dieser ext4-Bug der bei afair Debian 12.6 dadurch provoziert wurde und mit xfs war letztes Jahr auch mal was gravierendes), weshalb ich die meide.

  2. Anonym

    Mit Secure Boot sollte das Modul doch nicht geladen werden oder?
    Ein lockdown=confidentiality sollte die Hürde erhöhen.

    Ich beantworte meine Frage mal selbst, nachdem ich den Link oben gefolgt bin:

    Zitat:”we can see that the program checks whether secure boot is enabled by querying dmesg. If the correct conditions are met, a shell script called script.sh is dropped in the /tmp directory and executed.”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert