
Gen Threat Labs 的研究人員發現了一種針對 Arch 系統的新型複雜 rootkit,名為 Snapekit。 Linux 版本 6.10.2-arch1-1,基於 x86_64 架構。 Snapekit 允許攻擊者在不被察覺的情況下,未經授權存取和控制系統。
該 rootkit 透過攔截和修改 21 個系統呼叫(應用程式與作業系統核心之間的通訊機制)來滲透作業系統。 Snapekit 使用特殊的投放器進行部署。該 rootkit 能夠識別並避開流行的分析和調試工具,例如 Cuckoo Sandbox、JoeSandbox、Hybrid-Analysis、Frida、Ghidra 和 IDA Pro。當偵測到其中一種工具時,Snapekit 會改變其行為以避免被發現。
Snapekit 的主要目標是透過停留在使用者空間而不是更受控制的核心空間來隱藏惡意程式碼。這種方法大大增加了威脅偵測和分析的複雜性。此外,此rootkit使用PTrace防禦機制來偵測偵錯嘗試,這增加了分析師和資訊安全專家的複雜性。
Snapekit 擁有多層規避工具,不僅可以讓你規避自動化分析工具(沙箱和 虛擬機但這同時也增加了手動分析的難度。該rootkit的創建者,網名為Humzak711,計劃很快在GitHub上開源Snapekit專案。
來源: linux.org.ru
