Poslednjih mjeseci identifikovan je skriveni i veoma sofisticirani Linux rootkit pod imenom Pumakit , koji cilja na kritične sektore infrastrukture, uključujući telekomunikacije, finansije i nacionalnu bezbjednost.
Otkriven od strane Elastic Security Labs, Pumakit predstavlja rastući trend naprednog malicioznog softvera prilagođenog Linux okruženjima, koja su se kroz istoriju smatrala sigurnijim od drugih operativnih sistema.
Pumakit koristi sofisticirane tehnike izbjegavanja i radi na nivou kernela, što ga čini alarmantnom prijetnjom za organizacije koje se oslanjaju na sisteme zasnovane na Linux-u. Koristeći napredne metode kako bi ostali neotkriveni, pokazuje sve sofisticiranost modernih sajber prijetnji.
Tehnički slom Pumakit-a
Pumakit je dizajniran da se duboko infiltrira u sistem, ciljajući procese na nivou kernela kako bi izvršili maliciozne operacije, izbjegavajući otkrivanje. Ispod su njegove ključne karakteristike:
PUMAKIT infekcijski lanac
Prema analizi SOCRadar, manipulišući sistemskim pozivima na nivou kernela, on prikriva aktivnosti datoteka i mreže, čineći ih nevidljivim za tradicionalne alate za praćenje.
Ugrađen direktno u kernel, Pumakit osigurava postojanost, zadržavajući kontrolu čak i nakon ponovnog pokretanja sistema za dugoročni pristup.
Također mijenja alate za evidentiranje sistema kako bi izbrisao dokaze o malicioznim aktivnostima, što komplikuje forenzičke istrage.
Olakšavajući krađu podataka i pružajući napadačima uporna pozadinska vrata, Pumakit omogućava stalni pristup marušenim sistemima.
Osim toga, onemogućuje sigurnosne alate i sakriva svoje procese, čineći otkrivanje i analizu izazovnim, čak i u okruženjima sa visokim nadzorom.
Organizacije treba da aktivno prate svoje sisteme za indikatore kompromisa (IoC) povezane sa Pumakit-om.
Ključni indikatori uključuju neobične module na nivou kernela s neočekivanim atributima ili imenima, neočekivane promjene rukovatelja sistemskim pozivima i skrivene datoteke, procese ili mrežne veze koje zaobilaze alate za otkrivanje.
Sumnjivi saobraćaj na IP 89.23.113.204 ili domene kao što je rhel.opsecurity1.art bi takođe trebao izazvati alarm, kao i prisustvo malicioznih datoteka kao što su 4375998ea157a8a21e1ead13052bad8a ili 810f4b4267da9c9 .
Da bi ublažile Pumakit-ove sofisticirane taktike, organizacije bi trebale implementirati specifične strategije. Za otmicu dinamičkog povezivača (T1574.006), robusna kontrola aplikacija bi trebala blokirati maliciozne biblioteke.
Da bi se spriječilo ubrizgavanje procesa (T1055), sigurnosni alati moraju biti konfigurisani za otkrivanje i sprječavanje takvih aktivnosti. Sprovođenje višefaktorske autentifikacije (MFA) je od suštinskog značaja za siguran pristup i sprečavanje zloupotrebe podrazumijevanih naloga (T1078.001).
Konačno, ograničavanje dozvola može pomoći u spriječavanju petljanja u sigurnosne postavke, čime se narušava obrana od onemogućenih sigurnosnih alata (T1562.001).
Preporučene odbrambene mjere
- Učvršćivanje sistema : Redovno primjenjujte sigurnosne zakrpe i ažuriranja kako biste eliminisali ranjivosti.
- Upravljanje pristupom : Ograničite administrativni pristup i primenite stroge politike naloga.
- Nadgledanje ponašanja : Uvedite alate za kontinuirano praćenje kako biste rano otkrili anomalije.
- Planovi odgovora na incidente : Pripremite robusne protokole da brzo odgovorite na infekcije rootkitom.
Elastic Security Labs je objavio YARA pravilo kako bi pomogao organizacijama da otkriju Pumakit infekcije. Pravilo skenira maliciozne nizove, artefakte datoteka i IP adrese povezane s rootkitom.
Ključni indikatori uključuju nizove poput “PUMA %s”, “opsecurity1.art” i sumnjivog hosta 89.23.113.204 .
Izvor: CyberSecurityNews