【安全圈】新的 Linux 恶意软件框架允许攻击者在目标系统上安装 Rootkit

一种前所未见的 Linux 恶意软件因其模块化架构和安装 rootkit 的能力而被称为 “瑞士军刀”。

这种以前未被发现的 Linux 威胁，被 Intezer 称为 Lightning 框架，配备了大量功能，使其成为针对 Linux 系统开发的最复杂的框架之一。

Intezer 研究员 Ryan Robinson 在今天发布的一份新报告中说：“该框架具有与威胁参与者通信的被动和主动功能，包括在受感染机器上打开 SSH，以及多态可塑性命令和控制配置。”

恶意软件的核心是一个下载器（“kbioset”）和一个核心（“kkdmflush”）模块，前者被设计为从远程服务器检索至少七个不同的插件，这些插件随后被核心组件调用。

此外，下载器还负责建立框架主模块的持久化。“下载器模块的主要功能是获取其他组件并执行核心模块，”Robinson 指出。

就其核心模块而言，它与命令和控制 (C2) 服务器建立联系，以获取执行插件所需的必要命令，同时还注意隐藏自己在受感染机器中的存在。

从服务器接收到的一些值得注意的命令使恶意软件能够对机器进行指纹识别、运行 shell 命令、将文件上传到 C2 服务器、将任意数据写入文件，甚至从受感染的主机中更新和删除自身。

它通过创建在系统启动时执行的初始化脚本来进一步设置持久性，从而有效地允许下载器自动启动。

“Lightning Framework 是一种有趣的恶意软件，因为针对 Linux 开发的如此庞大的框架并不常见，”Robinson 指出。

Lightning Framework 的发现使其成为继 BPFDoor、Symbiote、Syslogk 和 OrBit 之后在短短三个月内发现的第五种 Linux 恶意软件。