Аналитики из компании Intezer называют новую Linux-малварь Lightning Framework настоящим «швейцарским ножом» из-за ее модульной архитектуры, а также способности устанавливать руткиты и бэкдоры.

«Фреймворк имеет как пассивные, так и активные возможности для связи со злоумышленником, включая открытие SSH на зараженной машине, а также полиморфную и гибкую конфигурацию для C&C», — рассказывает специалист  Intezer Райан Робинсон.

Похоже, пока малварь не использовалась в настоящих атаках, но исследователям удалось изучить некоторые ее компоненты, и они говорят, что прочее «еще предстоит найти и проанализировать».

Известно, что Lightning Framework имеет достаточно простую структуру: основной компонент-загрузчик (kbioset), который загружает и устанавливает на скомпрометированные устройства другие модули и плагины малвари, включая основной модуль (kkdmflush).

Главной задачей основного модуля является установление связи с управляющим и получение команд, необходимых для выполнения разных плагинов, а также сокрытие присутствия на скомпрометированной машине. К примеру, для маскировки вредонос использует тайпсквоттинг и маскируется под менеджер паролей и ключей Seahorse.

Другие способы маскировки включают изменение временных меток вредоносных артефактов с помощью timestomping’а, а также сокрытие PID и любых связанных сетевых портов с помощью одного из нескольких руткитов, которые способен развернуть Lightning Framework. Закрепиться в системе вредонос может, создав скрипт с именем elastisearch в /etc/rc.d/init.d/, который будет выполняться при каждой загрузке системы и вновь запускать модуль загрузчика для повторного заражения устройства.

Кроме того, Lightning Framework добавляет в зараженную систему собственный бэкдор на основе SSH: запускает SSH-сервер с помощью одного из загруженных плагинов (Linux.Plugin.Lightning.Sshd). В итоге это позволит злоумышленникам подключаться к зараженным машинам по SSH, используя собственные ключи SSH.

«Lightning Framework — интересное вредоносное ПО, поскольку редко можно увидеть такую ​​масштабную платформу, разработанную для Linux, — резюмирует Робинсон. — Хотя у нас нет всех файлов, мы можем делать выводы о некоторых недостающих функциях на основе строк и кода модулей, которые есть в нашем распоряжении».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии