关键词
Linux 、rootkit
这种以前未被发现的 Linux 威胁,被 Intezer 称为 Lightning 框架,配备了大量功能,使其成为针对 Linux 系统开发的最复杂的框架之一。
Intezer 研究员 Ryan Robinson 在今天发布的一份新报告中说:“该框架具有与威胁参与者通信的被动和主动功能,包括在受感染机器上打开 SSH,以及多态可塑性命令和控制配置。”
恶意软件的核心是一个下载器(“kbioset”)和一个核心(“kkdmflush”)模块,前者被设计为从远程服务器检索至少七个不同的插件,这些插件随后被核心组件调用。
此外,下载器还负责建立框架主模块的持久化。“下载器模块的主要功能是获取其他组件并执行核心模块,”Robinson 指出。
就其核心模块而言,它与命令和控制 (C2) 服务器建立联系,以获取执行插件所需的必要命令,同时还注意隐藏自己在受感染机器中的存在。
从服务器接收到的一些值得注意的命令使恶意软件能够对机器进行指纹识别、运行 shell 命令、将文件上传到 C2 服务器、将任意数据写入文件,甚至从受感染的主机中更新和删除自身。
它通过创建在系统启动时执行的初始化脚本来进一步设置持久性,从而有效地允许下载器自动启动。
“Lightning Framework 是一种有趣的恶意软件,因为针对 Linux 开发的如此庞大的框架并不常见,”Robinson 指出。
Lightning Framework 的发现使其成为继 BPFDoor、Symbiote、Syslogk 和 OrBit 之后在短短三个月内发现的第五种 Linux 恶意软件。
END
阅读推荐
【安全圈】广东首例!广州一公司未履行数据安全保护义务被警方处罚
【安全圈】研究人员在技嘉和华硕主板中发现被植入UEFI Rootkit
【安全圈】又一虚拟货币交易平台暂停所有交易,管理资产超310亿
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
原文始发于微信公众号(安全圈):【安全圈】新的 Linux 恶意软件框架允许攻击者在目标系统上安装 Rootkit
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论