Исследователи из Gen Threat Labs выявилиновый сложный руткит Snapekit, который нацелен на систему Arch Linux версии 6.10.2-arch1-1 на архитектуре x86_64. Snapekit позволяет злоумышленникам получать несанкционированный доступ к системе и управлять ею, при этом оставаясь незамеченной.
Руткит внедряется в работу операционной системы, перехватывая и изменяя 21 системный вызов – механизм коммуникации между приложениями и ядром операционной системы. Snapekit использует специальный дроппер для развертывания. Руткит способен распознавать и избегать популярных инструментов анализа и отладки, таких как Cuckoo Sandbox, JoeSandbox, Hybrid-Analysis, Frida, Ghidra и IDA Pro. При обнаружении одного из инструментов Snapekit меняет свое поведение, чтобы избежать обнаружения.
Основная задача Snapekit – скрывать вредоносный код, оставаясь в пользовательском пространстве, а не в более контролируемом пространстве ядра. Такой подход значительно усложняет обнаружение и анализ угрозы. Кроме того, руткит применяет защитные механизмы PTrace для выявления попыток отладки, что добавляет сложности для аналитиков и ИБ-специалистов.
Snapekit обладает многослойными средствами обхода, которые позволяют избегать не только автоматизированных средств анализа (песочниц и виртуальных машин), но и затрудняют ручной анализ. Создатель руткита, известный под ником Humzak711, планирует в скором времени опубликовать проект Snapekit с открытым исходным кодом на GitHub.
Мощные защитные механизмы Snapekit включают в себя обфускацию кода, антиотладочные методы и обнаружение среды выполнения. Благодаря таким особенностям руткит выделяется на фоне других вредоносных программ. Специалистам по безопасности рекомендуется готовить более сложные среды анализа, используя расширенные песочницы, методы обхода отладчиков и совместные аналитические платформы, чтобы противостоять новым угрозам.