+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : Pumakit, un nouveau Rootkit pas comme les autres (/showthread.php?tid=4782)
Pumakit, un nouveau Rootkit pas comme les autres - Juanito - 13-12-2024
Pumakit : Le Nouveau Rootkit Linux qui Échappe à la Détection
Un nouveau rootkit Linux, nommé Pumakit, a récemment été découvert par les chercheurs de Elastic Security. Ce malware utilise des techniques avancées pour rester discret sur les systèmes infectés, ce qui le rend particulièrement difficile à détecter.Architecture et Fonctionnement
Pumakit est un malware à plusieurs composants, comprenant un dropper, des exécutables résidents en mémoire, un module noyau rootkit (LKM) et un rootkit utilisateur (SO). Le processus d'infection commence par un programme nommé cron, qui exécute des charges utiles entièrement en mémoire. Ces charges utiles effectuent des vérifications environnementales et manipulent l'image du noyau avant de déployer le module LKM.
![[Image: Pumakit-Linux-Decembre-2024.jpg]](https://www.it-connect.fr/wp-content-itc/uploads/2024/12/Pumakit-Linux-Decembre-2024.jpg)
Techniques de Furtivité
L'une des caractéristiques les plus remarquables de Pumakit est son utilisation de la fonction kallsyms_lookup_name() pour manipuler le comportement du système. Ce rootkit cible spécifiquement les noyaux Linux antérieurs à la version 5.7, car les versions plus récentes ne supportent pas cette fonction. Pumakit utilise également ftrace pour hooker 18 appels syscall et plusieurs fonctions du noyau, lui permettant de cacher des fichiers, des répertoires et même son propre processus.
Impact et Détection
Pumakit peut élever ses privilèges, exécuter des commandes et dissimuler des processus. Il utilise des fonctions du noyau telles que prepare_creds et commit_creds pour modifier les informations d'identification des processus et accorder des privilèges root. Pour détecter ce malware, Elastic Security a publié des règles YARA et des signatures de détection
Pour conclure
Pumakit représente une menace sérieuse pour les systèmes Linux, en particulier ceux utilisant des noyaux plus anciens. Les administrateurs de systèmes doivent rester vigilants et mettre en place des mesures de sécurité robustes pour protéger leurs infrastructures critiques.
Sources:
https://www.it-connect.fr/pumakit-un-nouveau-rootkit-qui-menace-les-serveurs-linux-en-toute-discretion/
https://www.techzine.eu/news/security/127133/new-linux-malware-pumakit-manages-to-hide-itself/
https://thehackernews.com/2024/12/new-linux-rootkit-pumakit-uses-advanced.html
RE: Pumakit, un nouveau Rootkit pas comme les autres - EnZ0 - 18-12-2024
Pas mal comme article, il met bien en lumière un problème qu’on sous-estime parfois : la persistance des attaques sur des noyaux Linux obsolètes. Pumakit est un bon exemple de ce qui peut arriver quand on ne met pas ses systèmes à jour, surtout dans les environnements critiques.
Le truc intéressant, c’est l’utilisation de kallsyms_lookup_name(), une fonction qui semble être l’épine dorsale de plusieurs attaques. C’est impressionnant, mais ça montre aussi à quel point il est vital de passer à des noyaux plus récents (post 5.7). D’ailleurs, ftrace pour le hooking de syscall, c’est brillant, mais flippant ! Ça illustre bien la montée en sophistication des attaques actuelles.
Pour la détection, les règles YARA proposées par Elastic Security, c’est top, mais ça implique de surveiller activement ses systèmes avec les bons outils. Ce serait une bonne idée de creuser ça, notamment pour les SISR. La surveillance est au programme SISR.
Et pour ceux qui se posent la question, vérifier la version de son noyau Linux est super simple. Vous pouvez utiliser la commande :
uname -r
Sur ma machine (décrite dans ma signature) par exemple, ça renvoie :
5.15.0-128-generic
Ça vous donne directement la version de votre noyau. Si vous voulez encore plus de détails, regardez dans le fichier /proc/version avec :
cat /proc/version
qui donne par exemple sur ma machine :
Linux version 5.15.0-128-generic (buildd@lcy02-amd64-108) (gcc (Ubuntu 11.4.0-1ubuntu1~22.04) 11.4.0, GNU ld (GNU Binutils for Ubuntu) 2.38) #138-Ubuntu SMP Sat Nov 30 22:28:23 UTC 2024
En parlant de ça, l'article rappelle bien l'importance de garder ses noyaux à jour. Si votre noyau est en dessous de la version 5.7, c’est clairement le moment de vous poser des questions, parce que les fonctions exploitées par Pumakit, comme kallsyms_lookup_name(), ne sont plus disponibles dans les noyaux récents (on est au noyau 5.15 sur les versions LTS quand même... la preuve avec les retours ci-dessus de ma machine). Et ce n’est pas seulement pour Pumakit : les mises à jour de noyaux corrigent des failles constamment, donc ne les négligez pas, même sur un serveur ou un poste "qui marche bien".
Je ne rappelle pas l'intérêt des mises à jour, hein, je vous saoule bien assez avec, il me semble ?
