روت کیت PUMAKIT نسخه های قدیمی لینوکس را هدف قرار می دهد.
بدافزار PUMAKIT یک روت کیت لینوکسی است که به تازگی کشف شده است و به دلیل مکانیسم های بسیار پیشرفته ای که در پنهان سازی خود دارد، نگرانی های قابل توجهی در مورد امنیت سایبری ایجاد کرده است. بطورکلی روت کیت بدافزار مخربی است که برای به دست آوردن و حفظ دسترسی غیرمجاز به یک سیستم و در عین حال پنهان کردن حضور آن طراحی شده است.
بدافزار PUMAKIT به طور خاص هسته های قدیمی لینوکس (نسخه های قبل از 5.7) را هدف قرار می دهد و آن را به یک تهدید حیاتی برای سیستم هایی که به روز نشده اند تبدیل می کند. از تکنیکهای پیچیده برای دور زدن دفاع امنیتی، پنهان کردن فرآیندهای خود و کنترل سیستمهای در معرض خطر بدون شناسایی استفاده میکند. این امر PUMAKIT را به ویژه برای محیط های سازمانی، سرورهای ابری و هر زیرساختی که به نصب لینوکس قدیمی متکی است، خطرناک می کند.
روت کیت PUMAKIT با بهرهبرداری از آسیبپذیریهای هسته ی لینوکس، میتواند دسترسی های غیر مجاز خود به سیستم کاربر را افزایش دهد و سیستم آسیبدیده را کاملاً توسط مهاجمان قابل کنترل کند. عملیات بسیار مخفی و تأثیر بالقوه آن بر روی سیستم های حساس، توجه بسیاری از مدیران سیستم و تیم های امنیتی را جلب کرده است. شناخت علائم آلودگی آن و کاهش اثرات آن گام های مهمی در دفاع در برابر این تهدید است.
بدافزار PUMAKIT از یک فرآیند آلوده سازی چند مرحله ای استفاده می کند که توسط «cron» که معمولاً در سیستم های بر پایه ی یونیکس دیده می شود، آغاز می شود. اهداف اصلی آن سیستمهای لینوکس هستند که بهروزرسانیهای امنیتی را دریافت نکردهاند و از نسخههای هسته پیش از 5.7 استفاده می کنند.
روت کیت PUMAKIT فایل ها، فرآیندها و فعالیت های شبکه را پنهان می کند و حضور خود را برای ابزارهای نظارت استاندارد نامرئی می کند. با رهگیری تماس های سیستمی در سطح کاربر، رفتار ابزارهای سیستمی مانند Process Manager و File Explorer را تغییر می دهد. ارتباط مداوم با سرورهای Command-and-Control (C2) راه دور را حفظ می کند و به مهاجمان اجازه می دهد تا دستورات را اجرا و داده های حساس را بازیابی کنند.
روت کیت PUMAKIT از تکنیک های مبهم سازی پیشرفته ای از جمله اجرا در حافظه، فعال سازی بر اساس نوع سیستم و رمزگذاری در درون حافظه استفاده می کند، که اینکار تشخیص را بسیار چالش برانگیزتر می کند.
بدافزار PUMAKIT ماژول ‘puma.ko’ را در هسته سیستم مستقر می کند. این ماژول حاوی یک فایل مشترک جاسازی شده است که با استفاده از “LD_PRELOAD” خود را به فرآیندها تزریق می کند و به روت کیت اجازه می دهد تا تماس های سیستم را رهگیری کند.
شاخص های شناخته شده بدافزار PUMAKIT
ماژولهای هسته مشکوک: وجود ماژولهای هسته غیرمجاز یا غیرمعمول، مانند ‘puma.ko’.
فرآیندها و فایل های پنهان: فایل ها و فرآیندهایی که از ابزارهای استاندارد نظارت بر سیستم پنهان می شوند.
باینری های سیستمی که تغییر یافته اند: تغییراتی در باینری های سیستم مانند “cron” که ممکن است به عنوان روت کیت عمل کنند.
اتصالات شبکه غیرعادی: اتصالات خروجی غیرمنتظره که به طور بالقوه ارتباط با سرورهای C2 را نشان می دهد.
راه های کاهش و پیشگیری روت کیت PUMAKIT
آگاهی کاربر: به کاربران در مورد خطرات اجرای باینری های نامعتبر و اهمیت به روز رسانی سیستم آموزش دهید.
فیلتر کردن ایمیل: فیلترهایی را برای مسدود کردن پیوستها و لینک های مخربی که میتوانند روت کیت را ارسال کنند، اعمال کنید.
استفاده از آنتی ویروس: از آنتیویروس های معتبر و بروز با قابلیت شناسایی رفتارهای روتکیت استفاده نمایید.
احراز هویت دو مرحله ای (2FA): برای افزودن یک لایه امنیتی اضافی در برابر دسترسی غیرمجاز، Two-Factor Authentication را اعمال کنید.
مانیتورینگ: به طور منظم گزارش های سیستم را از نظر ناهنجاری هایی که نشان دهنده فعالیت روت کیت هستند، بررسی کنید.
به روز رسانی های منظم: برای کاهش آسیب پذیری های مورد سوء استفاده PUMAKIT، سیستم ها را به هسته لینوکس بالاتر از نسخه 5.7 به روز کنید.
ارزیابی ریسک بدافزار PUMAKIT
PUMAKIT به دلیل مکانیسمهای مخفی کاری پیشرفته و توانایی حفظ دسترسی دائمی در سیستمهای در معرض خطر، یک تهدید مهم به شمار می رود. هدف قرار دادن نسخههای قدیمیتر هسته لینوکس، سیستمهایی را که از این نسخهها استفاده میکنند را آسیبپذیر می نماید. قابلیت روت کیت برای پنهان کردن حضور خود از ابزارها و گزارشهای سیستم، تلاشهای شناسایی و اصلاح را پیچیده میکند.
توصیه امنیتی به مدیران امنیت اطلاعات:
همکاری بین تیم های فناوری اطلاعات، ارائه دهندگان اطلاعات تهدید و کارشناسان امنیت سایبری برای شناسایی، کاهش و خنثی سازی موثر این تهدید ضروری است. با اقدامات امنیتی پیشگیرانه و بروز رسانی به موقع سیستم، سازمان ها می توانند خطر نقض های مربوط به PUMAKIT را به میزان قابل توجهی کاهش دهند.
منابع:
Elastic Security
Cybersecsentinel