Το νέο malware Lightning Framework στοχεύει συστήματα Linux και μπορεί να χρησιμοποιηθεί για την κάλυψη μολυσμένων συσκευών που χρησιμοποιούν SSH και την ανάπτυξη πολλαπλών τύπων rootkit.
Δείτε επίσης: Neopets: Παραβίαση εκθέτει προσωπικά στοιχεία 69 εκατομμυρίων μελών
Το Lightning Framework περιγράφεται ως “Swiss Army Knife” σε μια αναφορά που δημοσιεύτηκε σήμερα από την Intezer, είναι ένα modular malware που έρχεται και με υποστήριξη για plugins.
Αυτό το malware δεν έχει ακόμη εντοπιστεί να χρησιμοποιείται και ορισμένα από τα συστατικά του (που αναφέρονται στον πηγαίο κώδικα) δεν έχουν ακόμη βρεθεί και αναλυθεί.
Το Lightning Framework έχει δημιουργηθεί χρησιμοποιώντας μια απλή δομή: ένα downloader component και θα εγκαταστήσει άλλα modules και plugins του malware, συμπεριλαμβανομένου του core module του, σε παραβιασμένες συσκευές Linux.
Το malware χρησιμοποιεί typosquatting και μεταμφιέζεται ως ο διαχειριστής κωδικών πρόσβασης και κλειδιών κρυπτογράφησης του Seahorse GNOME για να αποφύγει τον εντοπισμό σε μολυσμένα συστήματα.
Δείτε επίσης: Η Cisco διορθώνει σφάλμα που επιτρέπει στους εισβολείς να εκτελούν εντολές ως root
Αφού επικοινωνήσει με τον command-and-control (C2) server μέσω TCP sockets χρησιμοποιώντας πληροφορίες C2 που είναι αποθηκευμένες σε μη ανιχνεύσιμα πολυμορφικά encoded configuration files, το Lightning Framework ανακτά τα plugins του και το core module.
Αυτό το core module (kkdmflush) είναι το κύριο module του framework και είναι αυτή που χρησιμοποιεί το malware για να λάβει εντολές από τον C2 server και να εκτελέσει τα plugins του.
Άλλες μέθοδοι για την απόκρυψη της παρουσίας του περιλαμβάνουν την αλλαγή των timestamps κακόβουλων artifacts χρησιμοποιώντας timestomping και την απόκρυψη του Process ID (PID) και τυχόν σχετικών θυρών δικτύου χρησιμοποιώντας ένα από τα πολλά rootkits που μπορεί να αναπτύξει.
Μπορεί επίσης να επιτύχει persistence δημιουργώντας ένα script με το όνομα elastisearch στο /etc/rc.d/init.d/ που εκτελείται σε κάθε εκκίνηση συστήματος για να ξεκινήσει το downloader module και να μολύνει ξανά τη συσκευή.
Τελευταίο αλλά εξίσου σημαντικό, αυτό το malware θα προσθέσει και το δικό του backdoor που βασίζεται σε SSH, ξεκινώντας έναν SSH server χρησιμοποιώντας ένα από τα plugin που έχετε λάβει (Linux.Plugin.Lightning.Sshd).
Το νέο OpenSSH daemon που κυκλοφόρησε έχει κωδικοποιημένα ιδιωτικά κλειδιά και host keys, επιτρέποντας στους εισβολείς να μεταφέρουν SSH στα μολυσμένα μηχανήματα χρησιμοποιώντας τα δικά τους κλειδιά SSH.
Το Lightning Framework είναι απλώς το πιο πρόσφατο στέλεχος κακόβουλου λογισμικού Linux που μπορεί να παραβιάσει πλήρως και να παρακάμψει συσκευές που εμφανίστηκαν πρόσφατα.
Οι ερευνητές ασφαλείας της Intezer εντόπισαν και το OrBit, ένα κρυφό malware που παραβιάζει τις κοινόχρηστες βιβλιοθήκες για να υποκλέψει function calls για να κλέψει πληροφορίες από backdoored Linux και να μολύνει όλες τις διεργασίες που εκτελούνται.
Δείτε επίσης: LinkedIn: Το brand που χρησιμοποιείται περισσότερο σε phishing επιθέσεις
Το Symbiote, ένα άλλο κακόβουλο λογισμικό που στοχεύει συσκευές Linux, λειτουργεί ως παράσιτο σε όλο το σύστημα που δεν αφήνει σημάδια μόλυνσης και χρησιμοποιεί την ίδια τακτική για να φορτωθεί σε διεργασίες που εκτελούνται.
Οι ερευνητές εντόπισαν και ένα κρυφό backdoor που ονομάζεται BPFDoor και στοχεύει κρυφά συστήματα Linux και Solaris, παρακάμπτοντας τα firewalls για απομακρυσμένη πρόσβαση.
Ένα τέταρτο στέλεχος κακόβουλου λογισμικού Linux, ένα rootkit με το όνομα Syslogk που αποκαλύφθηκε από τους ερευνητές της Avast τον περασμένο μήνα, έχει τη δυνατότητα να φορτώσει αναγκαστικά τα modules του στον πυρήνα του Linux, σε μηχανήματα που έχουν μολυνθεί με backdoor και να αποκρύψει την κυκλοφορία του δικτύου και τα artifacts για να αποφύγει τον εντοπισμό.
Πηγή πληροφοριών: bleepingcomputer.com
