Kant's IT/Issue on IT&Security
Pumakit: 리눅스 시스템을 위협하는 지속성 루트킷
Kant Jo
2025. 2. 3. 16:20
Pumakit - Sophisticated Linux Rootkit That Persist Even After Reboots
Pumakit - Sophisticated Linux Rootkit That Persist Even After Reboots
Pumakit is a sophisticated rootkit that leverages system call interception to manipulate file and network activity. It ensures persistence
gbhackers.com
- Pumakit 개요
- 리눅스 커널 레벨에서 동작하는 정교한 루트킷
- 시스템 호출(System Call) 가로채기를 활용하여 파일 및 네트워크 활동 조작
- 재부팅 후에도 지속성 유지하며 탐지 회피 기법 적용
- 로그 변조 및 보안 도구 비활성화를 통한 포렌식 분석 방해
- 공격자에게 원격 접근 제공 및 데이터 유출 가능
- 침해 지표(IOC) 및 분석
- 의심스러운 커널 모듈 및 시스템 콜 핸들러 변조 확인
- 숨겨진 프로세스 및 네트워크 연결 감지
- 의심스러운 IP 주소(89.23.113.204) 및 도메인(rhel.opsecurity1.art) 활동
- 악성 해시값
4375998ea157a8a21e1ead13052bad8a810f4b422b9c0a6718e9461de3a2edda
- 공격 기법 및 위협 요소
- 동적 링커 하이재킹(Dynamic Linker Hijacking)을 통한 악성 라이브러리 로드
- 프로세스 인젝션 탐지 회피 기법 적용
- 파일 및 레지스트리 조작을 통해 보안 도구 무력화
- Puma, Kitsune 등의 문자열 포함된 특정 경로(
/usr/share/zov_f등) 및 구성 파일(.puma-config) 활용
- Pumakit 대응 방안
- 애플리케이션 제어 강화: 악성 라이브러리 및 페이로드 실행 차단
- 행동 기반 탐지 적용: 프로세스 인젝션 및 비정상적인 네트워크 활동 감지
- 다단계 인증(MFA) 적용: 기본 계정 보안 강화
- 파일 및 레지스트리 접근 제한: 보안 도구 변조 방지
- 정기적인 패치 및 업데이트 수행: 최신 보안 업데이트 유지
- 엄격한 접근 제어 정책 시행: 최소 권한 원칙 적용
- 침해 사고 대응 계획 수립 및 정기 점검: 루트킷 감염 대응 프로세스 마련 및 테스트
- YARA 규칙 적용:
Linux.Trojan.Pumakit탐지 및 제거
- 결론
- Pumakit은 커널 레벨에서 동작하며 탐지 회피 기술을 적용한 고급 루트킷으로, 지속적인 보안 모니터링과 강력한 대응이 필요함
- 강화된 접근 제어 및 최신 보안 패치 적용을 통해 침해 위험을 최소화해야 함
- 포렌식 및 탐지 기법 개선을 통해 숨겨진 위협을 효과적으로 대응해야 함