Ein neues Malware-Rootkit namens Pumakit wurde kürzlich entdeckt und stellt eine Bedrohung für Linux-Systeme dar. Es nutzt fortschrittliche Verschleierungsmethoden, um sich unbemerkt auf betroffenen Systemen zu verstecken. Aktuell betrifft die Schadsoftware ausschließlich Linux Kernel Versionen älter als 5.7.
Das Sicherheitsunternehmen Elastic identifizierte Pumakit im September, nachdem ein verdächtiges Binary von „cron“ auf VirusTotal hochgeladen wurde. Dieses Binary enthielt den Rootkit-Code. Wer hinter der Entwicklung von Pumakit steckt und welche Ziele angegriffen werden, bleibt bislang unklar.
Mehrstufiger Infektionsprozess
Pumakit wird über einen Dropper namens „cron“ auf das System geladen. Im ersten Schritt führt dieser schädliche Payloads direkt aus dem Arbeitsspeicher aus. Im zweiten Schritt manipuliert die Malware Kernel-Images und lädt ein Rootkit-Modul namens „puma.ko“ in den Systemkernel. Ein weiterer Bestandteil, das „Kitsune SO“-Modul, versteckt die Schadsoftware auf Benutzerebene, indem es Systemaufrufe abfängt und Dateien sowie Prozesse tarnt.
Ziel: Verstecken und Kontrolle
Der Rootkit-Bestandteil Kitsune SO übernimmt zusätzlich die Kommunikation mit einem Command-and-Control-Server (C2). Es leitet Befehle an den Kernel-Rootkit weiter und sendet sensible Systeminformationen zurück an die Angreifer. Ziel dieser Techniken ist es kritische Infrastrukturen oder Unternehmensnetzwerke auszuspionieren, Daten zu stehlen oder Prozesse zu stören.
Nur ältere Linux Kernel Versionen betroffen
Pumakit nutzt die Funktion „kallsyms_lookup_name()“, die in neueren Linux-Versionen entfernt wurde. Dadurch können Linux-Versionen ab 5.7 nicht infiziert werden. Für die Malware gibt es derzeit keine direkte Lösung. Allerdings hat Elastic Security Labs eine YARA-Regel veröffentlicht, die Administratoren zur Erkennung von Pumakit einsetzen können.
Schreibe einen Kommentar