De la sandbox al núcleo: Snapekit elude todos los niveles de protección de Linux
La aparición del código del rootkit en GitHub abrirá una nueva ronda de enfrentamiento con los hackers.
Los investigadores de Gen Threat Labs han descubierto un nuevo y complejo rootkit llamado Snapekit, que tiene como objetivo el sistema Arch Linux versión 6.10.2-arch1-1 en la arquitectura x86_64. Snapekit permite a los atacantes obtener acceso no autorizado al sistema y controlarlo, manteniéndose sin ser detectado.
El rootkit se integra en el funcionamiento del sistema operativo interceptando y modificando 21 llamadas al sistema, un mecanismo de comunicación entre aplicaciones y el núcleo del sistema operativo. Snapekit utiliza un dropper especial para su despliegue. Es capaz de reconocer y evitar herramientas de análisis y depuración populares, como Cuckoo Sandbox, JoeSandbox, Hybrid-Analysis, Frida, Ghidra e IDA Pro. Si se detecta alguna de estas herramientas, Snapekit cambia su comportamiento para evitar ser descubierto.
La tarea principal de Snapekit es ocultar el código malicioso permaneciendo en el espacio de usuario, en lugar del espacio del núcleo, que está más controlado. Este enfoque hace que sea mucho más difícil detectar y analizar la amenaza. Además, el rootkit emplea mecanismos de protección PTrace para detectar intentos de depuración, lo que añade complejidad para los analistas y profesionales de ciberseguridad.
Snapekit posee múltiples capas de evasión, lo que le permite eludir no solo los medios automatizados de análisis (sandbox y máquinas virtuales), sino que también complica el análisis manual. El creador del rootkit, conocido bajo el seudónimo de Humzak711, planea publicar pronto el proyecto Snapekit como código abierto en GitHub.
Las potentes medidas de seguridad de Snapekit incluyen ofuscación de código, métodos antidepuración y detección del entorno de ejecución. Estas características hacen que el rootkit destaque entre otros programas maliciosos. Se recomienda a los especialistas en seguridad preparar entornos de análisis más complejos, utilizando sandboxes avanzados, métodos de evasión de depuradores y plataformas analíticas colaborativas para enfrentar nuevas amenazas.
¿Tu Wi-Fi doméstico es una fortaleza o una casa de cartón?