TISI Gɛɛk Zønɛ Sécurité v
Pumakit, un nouveau Rootkit pas comme les autres

Note de ce sujet :
  • Moyenne : 5 (1 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Modes de sujets
Pumakit, un nouveau Rootkit pas comme les autres
Juanito Hors ligne
Junior
**
Messages : 40
Sujets : 26
Mercis reçus: 21 dans 19 posts
Mercis donnés: 13
Inscription : Sep 2024
#1
Exclamation  13-12-2024, 11:53
Pumakit : Le Nouveau Rootkit Linux qui Échappe à la Détection

Un nouveau rootkit Linux, nommé Pumakit, a récemment été découvert par les chercheurs de Elastic Security. Ce malware utilise des techniques avancées pour rester discret sur les systèmes infectés, ce qui le rend particulièrement difficile à détecter.
 
Architecture et Fonctionnement

Pumakit est un malware à plusieurs composants, comprenant un dropper, des exécutables résidents en mémoire, un module noyau rootkit (LKM) et un rootkit utilisateur (SO). Le processus d'infection commence par un programme nommé cron, qui exécute des charges utiles entièrement en mémoire. Ces charges utiles effectuent des vérifications environnementales et manipulent l'image du noyau avant de déployer le module LKM.

[Image: Pumakit-Linux-Decembre-2024.jpg]
Techniques de Furtivité

L'une des caractéristiques les plus remarquables de Pumakit est son utilisation de la fonction kallsyms_lookup_name() pour manipuler le comportement du système. Ce rootkit cible spécifiquement les noyaux Linux antérieurs à la version 5.7, car les versions plus récentes ne supportent pas cette fonction. Pumakit utilise également ftrace pour hooker 18 appels syscall et plusieurs fonctions du noyau, lui permettant de cacher des fichiers, des répertoires et même son propre processus.


Impact et Détection
 
Pumakit peut élever ses privilèges, exécuter des commandes et dissimuler des processus. Il utilise des fonctions du noyau telles que prepare_creds et commit_creds pour modifier les informations d'identification des processus et accorder des privilèges root. Pour détecter ce malware, Elastic Security a publié des règles YARA et des signatures de détection


Pour conclure
 
Pumakit représente une menace sérieuse pour les systèmes Linux, en particulier ceux utilisant des noyaux plus anciens. Les administrateurs de systèmes doivent rester vigilants et mettre en place des mesures de sécurité robustes pour protéger leurs infrastructures critiques.


Sources:
 
https://www.it-connect.fr/pumakit-un-nou...iscretion/
https://www.techzine.eu/news/security/12...de-itself/
https://thehackernews.com/2024/12/new-li...anced.html
[-] 1 utilisateur dit merci à Juanito pour ce post :
  • EnZ0
Trouver
Répondre


Messages dans ce sujet
Pumakit, un nouveau Rootkit pas comme les autres - par Juanito - 13-12-2024, 11:53

Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  DigitStealer nouveau malware pour MacOS Theo 0 133 27-11-2025, 07:21
Dernier message: Theo
Bug Le nouveau StilachiRAT utilise des techniques sophistiquées pour éviter la détection Omnous_Luminae 0 205 18-03-2025, 12:51
Dernier message: Omnous_Luminae
Bug Nouveau ransomware Akira Omnous_Luminae 0 230 17-03-2025, 10:48
Dernier message: Omnous_Luminae
  Un nouveau virus espion Skr 1 273 06-01-2025, 13:37
Dernier message: EnZ0
  Un nouveau moyen de contrer ShrinkLocker Juanito 1 288 15-11-2024, 15:58
Dernier message: EnZ0
Bug Nouveau Zero Day détecté sur Firefox Omnous_Luminae 1 285 10-10-2024, 15:46
Dernier message: EnZ0
  Marck Zuckerberg utiliser comme un deepfake alexlezga 0 367 05-12-2022, 09:50
Dernier message: alexlezga
Bug Un nouveau malware se fait passer pour une mise à jour Android _iSwamb_ 0 683 28-03-2021, 21:59
Dernier message: _iSwamb_
Bug NimzaLoader : Le nouveau malware qui cible les utilisateurs Windows _iSwamb_ 0 660 21-03-2021, 22:51
Dernier message: _iSwamb_
  Google de nouveau sanctionné par la CNIL zozoie 0 546 23-02-2021, 10:44
Dernier message: zozoie

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)