国内网络安全研究人员发现了另一种名为PUMAKIT的新型Linux恶意程序rootkit。

Elastic安全实验室的研究人员Remco Sprooten和Ruben Groenewoud在周四发布的一份技术报告中称：PUMAKIT是一种复杂的可加载内核模块LKMRootkit，它采用先进的隐身机制来隐藏自己，并保持与命令控制服务器的通信。

这家公司的安全评估源自今年九月初在其恶意软件扫描平台上发布的人工创作样本。

该恶意软件的内部结构基于一个多阶段架构，包括一个名为 “cron ”的滴管组件、两个内存驻留可执行文件（“/memfd:tgt ”和“/memfd:wpn”）、一个LKM rootkit（“puma.ko”）和一个名为Kitsune（“lib64/libs.so”）的共享对象（SO）用户域rootkit。

此外，它还利用Linux内部的函数追踪器(ftrace)来监测18种不同的系统调用以及一系列的内核函数，如“prepare_creds”及“commit_creds”，从而可以随意改变核心系统的操作，并且能够满足自己的目的。私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596

研究人员认为：PUMA采用了独特的交互方式。这种交互方式中，他们借助rmdir()系统调用来实施权限升级，并利用了专门的命令去获取配置信息及运行时状态数据。

研究人员指出：“LKM木马病毒会分阶段部署，确保在特定条件下才被激活，例如安全启动检查或者内核符号可用性。这些条件由扫描Linux内核来验证，所有必要的文件都会以ELF二进制格式嵌入到滴管中。”

默认位于 / memfd: tgt Ubuntu Linux Cron 二进制文件是可执行的，并没有被任何修改；而位于 / memfd: wpn则是由rootkit所加载的一个内核态启动器，其前提条件为满足相应的条件后。LKM ro私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596otkit包含一个内部模块的.so文件，该文件可以用于在用户空间和菜鸟之间进行交互。

Elastic公司表示，感染链中的每个阶段都是为了隐藏恶意软件的存在，并在释放rootkit之前利用内存驻留文件和特定检查。他们说现阶段还无法把PUMAKIT归结为任何已经确认的威胁行为者或团体。

“PUMAKIT是一种复杂的且难以发现的攻击方式，通过使用系统调用挂钩、内存驻留执行以及独特的方式提升权限等功能。其多层次的设计模式反映了当前对抗 Linux 操作系统的恶意软件愈发复杂，”该研究人员认为。