Хакер #305. Многошаговые SQL-инъекции
Аналитики из компании Intezer называют новую Linux-малварь Lightning Framework настоящим «швейцарским ножом» из-за ее модульной архитектуры, а также способности устанавливать руткиты и бэкдоры.
«Фреймворк имеет как пассивные, так и активные возможности для связи со злоумышленником, включая открытие SSH на зараженной машине, а также полиморфную и гибкую конфигурацию для C&C», — рассказывает специалист Intezer Райан Робинсон.
Похоже, пока малварь не использовалась в настоящих атаках, но исследователям удалось изучить некоторые ее компоненты, и они говорят, что прочее «еще предстоит найти и проанализировать».
Известно, что Lightning Framework имеет достаточно простую структуру: основной компонент-загрузчик (kbioset), который загружает и устанавливает на скомпрометированные устройства другие модули и плагины малвари, включая основной модуль (kkdmflush).
Главной задачей основного модуля является установление связи с управляющим и получение команд, необходимых для выполнения разных плагинов, а также сокрытие присутствия на скомпрометированной машине. К примеру, для маскировки вредонос использует тайпсквоттинг и маскируется под менеджер паролей и ключей Seahorse.
Другие способы маскировки включают изменение временных меток вредоносных артефактов с помощью timestomping’а, а также сокрытие PID и любых связанных сетевых портов с помощью одного из нескольких руткитов, которые способен развернуть Lightning Framework. Закрепиться в системе вредонос может, создав скрипт с именем elastisearch в /etc/rc.d/init.d/, который будет выполняться при каждой загрузке системы и вновь запускать модуль загрузчика для повторного заражения устройства.
Кроме того, Lightning Framework добавляет в зараженную систему собственный бэкдор на основе SSH: запускает SSH-сервер с помощью одного из загруженных плагинов (Linux.Plugin.Lightning.Sshd). В итоге это позволит злоумышленникам подключаться к зараженным машинам по SSH, используя собственные ключи SSH.
«Lightning Framework — интересное вредоносное ПО, поскольку редко можно увидеть такую масштабную платформу, разработанную для Linux, — резюмирует Робинсон. — Хотя у нас нет всех файлов, мы можем делать выводы о некоторых недостающих функциях на основе строк и кода модулей, которые есть в нашем распоряжении».