近日一种前所未见的Linux恶意软件因其模块化架构和安装rootkit能力被称作“瑞士军刀”。这种之前从未被检测到的Linux威胁被Intezer称为Lighting框架,它配备大量功能,成为了针对Linux系统开发的最复杂的框架之一。
安全研究员Robinson在7月21日发布的报道中说:“该框架具有与攻击者通信的被动和主动功能,并能在受感染机器上打开SSH以及多态可塑性命令和控制配置。
该恶意软件的核心是一个下载器(“kbioset”)和一个核心(“kkdmflush”)模块,前者被设计为从远程服务器检索至少七个不同的插件,随后这些插件会被核心组件调用。此外,下载器还负责建立框架主模块的持久化。Robinson指出“下载器模块功能是获取其它组件并执行核心模块”。
就核心模块的部分而言,它与命令与控制(C2)服务器建立连接,以获取执行插件所需的必要命令,同时隐藏自己在受感染机器中的存在。从服务器接收到的一些特别的命令使该恶意软件能够对机器进行指纹识别、运行shell命令、将文件上传到C2服务器、将任意数据写入文件,甚至从受感染的主机中更新和删除自身。它通过创建在系统启动时执行的初始化脚本来进一步提高持久性,从而有效地允许下载器自动启动。
“Lighting框架是一种有趣的恶意软件,因为针对Linux开发的如此庞大的框架不太多见。”Robinson说。Lighining框架的发现使其成为继BPFDoor、Symbiote、Syslogk和OrBIt之后的短短三月内发现的第五种Linux恶意软件。
https://thehackernews.com/2022/07/new-linux-malware-framework-let.html
https://attack.mitre.org/techniques/T1037/
原文始发于微信公众号(山石网科安全技术研究院):近期被发现的第五种Linux恶意软件
评论