PUMAKIT Malware IOCs

security IOC
Опубликовано

Исследователи из Elastic Security Labs опубликовали отчет о PUMAKIT - продвинутой вредоносной программе с многоступенчатой архитектурой, позволяющей обходить обнаружение и сохранять контроль над зараженными системами.

PUMAKIT Malware

Программа начинается с дроппера (cron), который инициирует цепочку выполнения вредоносного ПО, создавая два исполняемых файла, находящихся в памяти, которые работают полностью в памяти, не оставляя следов на диске. Эти исполняемые файлы совместно разворачивают руткит уровня ядра (LKM) и руткит пользовательского уровня (SO), позволяя вредоносной программе скрытно манипулировать поведением системы.

Компонент руткита, известный как «PUMA», использует ftrace для прослушивания 18 системных вызовов и функций ядра, что позволяет ему скрывать файлы, процессы и самого себя, обеспечивая повышение привилегий и связь с командно-контрольными (C2) серверами. Примечательно, что для выполнения привилегированных операций и взаимодействия с системой он использует нетрадиционные методы, такие как системный вызов rmdir(). В его функционал также входят меры защиты от отладки и точная проверка системных условий, таких как статус безопасной загрузки и доступность символов ядра, перед активацией.

Бесфайловое исполнение PUMAKIT достигается с помощью системного вызова memfd_create, позволяющего двоичным файлам существовать только в памяти. Он использует продвинутые техники, такие как системный вызов execveat(), для выполнения полезной нагрузки непосредственно из памяти, что еще больше усложняет обнаружение и криминалистический анализ. Загрузчик имитирует легитимные процессы, такие как sshd, чтобы слиться с системой, и выполняет сценарии оболочки только при соблюдении заданных критериев.

Руткит LKM использует таблицу syscall и уже неактуальную функцию kallsyms_lookup_name() для разрешения символов, ориентируясь на старые версии ядра Linux. Его возможности включают повышение привилегий, сокрытие файлов и процессов, а также манипуляции с системными вызовами для достижения скрытности и стойкости.
По данным Elastic Security Labs, PUMAKIT демонстрирует сложный подход к разработке вредоносного ПО, используя модульную и условно-бесплатную стратегию активации, чтобы избежать обнаружения.

Indicators of Compromise

Domains

  • rhel.opsecurity1.art
  • sec.opsecurity1.art

SHA256

  • 1aab475fb8ad4a7f94a7aa2b17c769d6ae04b977d984c4e842a61fb12ea99f58
  • 30b26707d5fb407ef39ebee37ded7edeea2890fb5ec1ebfa09a3b3edfc80db1f
  • 8ad422f5f3d0409747ab1ac6a0919b1fa8d83c3da43564a685ae4044d0a0ea03
  • 8ef63f9333104ab293eef5f34701669322f1c07c0e44973d688be39c94986e27
  • 934955f0411538eebb24694982f546907f3c6df8534d6019b7ff165c4d104136
  • bbf0fd636195d51fb5f21596d406b92f9e3d05cd85f7cd663221d7d3da8af804
  • bc9193c2a8ee47801f5f44beae51ab37a652fda02cd32d01f8e88bb793172491
  • cb070cc9223445113c3217f05ef85a930f626d3feaaea54d8585aaed3c2b3cfe
Похожие записи:
  1. BPFDoor Backdoor IOCs - Part 2
  2. LOBSHOT Malware IOCs
  3. JOKERSPY Hacktool IOCs
  4. Lazarus APT IOCs - Part 10
  5. GHOSTPULSE Malware IOCs
Elastic Security Labs PUMAKIT
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий