Pumakit：新的 Linux Rootkit 监控攻击工具

文章要点

• Pumakit 是一种新的 rootkit 恶意软件，被威胁行为者用于秘密提升特权，攻击 Linux 系统。
• 攻击过程从 cron dropper 开始，执行特定的负载，最终加载 LKM rootkit 模块。
• Pumakit 利用多种系统调用和内核功能进行特权提升和掩盖恶意行为，针对的是较旧的 Linux 内核。

Pumakit 是一种新兴的 rootkit 恶意软件，攻击者利用它对 Linux 系统发起秘密特权提升攻击，相关信息由
报道。

攻击使用 Pumakit 的过程始于 cron dropper 的部署，该程序执行 /memfd:tgt 和 /memfd:wpn
负载。前者最终会启动 puma.ko LKM rootkit 模块，该模块只有在确保安全启动状态和进行内核符号扫描后才会加载。ElasticSecurity 的报告指出，Pumakit 利用十几种系统调用和内核功能来提升特权、执行命令和掩盖其恶意活动。Elastic 的研究员 RemcoSprooten 和 Ruben Groenewoud 解释道：“LKM rootkit 操控系统行为的能力始于其使用系统调用表，并依赖
kallsyms_lookup_name() 进行符号解析。与针对 5.7 及以上版本的现代 rootkit 不同，该 rootkit 并未使用
kprobes，表明它是为较旧内核设计的。”

以下是 Pumakit 攻击流程的简要概述：

步骤 | 描述
—|—
部署 cron dropper | 开始攻击，执行恶意负载
启动 rootkit | 加载 puma.ko 模块，确保安全启动状态
特权提升 | 利用 syscalls 和内核功能进行攻击
隐蔽恶意活动 | 妨碍网络监控和检测

了解更多关于 Linux 系统的安全威胁，可以访问 。