Los rootkits son una de las amenazas más peligrosas en sistemas operativos, ya que permiten a los atacantes tomar el control de un sistema mientras permanecen ocultos. Recientemente, se descubrió un nuevo rootkit llamado Pumakit, diseñado para explotar sistemas Linux, utilizando técnicas avanzadas de escalamiento de privilegios y sigilo. Este malware representa una seria amenaza para infraestructuras críticas y sistemas empresariales.
¿Qué es Pumakit?
Pumakit es un rootkit multi-componente que incluye:
- Un dropper que inicia la infección.
- Ejecutables residentes en memoria.
- Un módulo del kernel (LKM) que manipula el sistema.
- Un rootkit en el espacio de usuario (userland) para interceptar llamadas del sistema.
El malware fue identificado por Elastic Security el 4 de septiembre de 2024, en un binario sospechoso llamado 'cron', cargado en VirusTotal. Aunque no está claro quién lo utiliza o a qué objetivos se dirige, estas herramientas suelen ser empleadas por actores avanzados en operaciones de espionaje, robo financiero y sabotaje.
Puede leer también | Popular biblioteca de IA en Python comprometida para distribuir malware
Cómo opera Pumakit
1. Proceso de infección
El ataque comienza con un dropper, identificado como 'cron', que ejecuta cargas útiles directamente desde la memoria:
- '/memfd:tgt' y '/memfd:wpn': Realizan verificaciones del entorno y manipulan la imagen del kernel.
- 'puma.ko': Un módulo del kernel que integra el rootkit en el sistema.
2. Técnicas de sigilo y control
- Rootkit del kernel (LKM):
- Utiliza la función kallsyms_lookup_name() para manipular el comportamiento del sistema.
- Diseñado específicamente para kernels Linux anteriores a la versión 5.7, ya que esta función no está disponible en versiones más recientes.
- Engancha (hooks) 18 llamadas del sistema y varias funciones del kernel para:
- Escalamiento de privilegios.
- Ejecución de comandos.
- Ocultamiento de procesos, archivos y registros.
- Abusa de las funciones prepare_creds y commit_creds para otorgar privilegios de root a procesos específicos.
- Rootkit en espacio de usuario (Kitsune SO):
- Intercepta llamadas del sistema mediante LD_PRELOAD para ocultar actividades.
- Modifica comandos comunes como ls, ps, netstat y htop, haciendo que los archivos y procesos asociados al rootkit sean invisibles.
- Se comunica con el servidor de comando y control (C2) para recibir instrucciones y transmitir datos del sistema.
Puede leer también | Nuevo malware en Linux ‘Perfctl’ Afecta a Millones al Imitar archivos del Sistema
Características avanzadas de Pumakit
- Reinicialización de hooks: Si los ganchos son interrumpidos, el rootkit los reinicia automáticamente, asegurando que los cambios maliciosos persistan.
- Ocultamiento dinámico: Permite a los atacantes definir criterios específicos para ocultar archivos y directorios, incluso frente a administradores del sistema.
- Invisibilidad total: Oculta binarios maliciosos y evita su detección por herramientas de antivirus y registros del kernel.
Defensas contra Pumakit
Elastic Security ha publicado una regla YARA para ayudar a los administradores de sistemas Linux a detectar ataques relacionados con Pumakit. Además, se recomienda:
- Actualizar el kernel: Mantener el kernel en una versión superior a 5.7 para reducir la exposición a este rootkit.
- Monitoreo proactivo: Utilizar herramientas de análisis de memoria y tráfico de red para identificar actividad sospechosa.
- Auditorías regulares: Inspeccionar logs y configuraciones del sistema en busca de anomalías.
- Implementar reglas de detección: Configurar sistemas de detección de intrusos (IDS) con firmas y reglas actualizadas, como las proporcionadas por YARA.
Puede leer también | Windows 10:Chinos utilizaron rootkit para espiar a los usuarios específico
Pumakit representa una amenaza significativa debido a sus capacidades avanzadas de sigilo y persistencia, dirigidas especialmente a sistemas críticos y empresariales. Este rootkit demuestra la necesidad de mantener prácticas de seguridad rigurosas, incluyendo actualizaciones regulares y monitoreo constante de la actividad del sistema.