Полезные знания Новый Linux-вредонос Lightning Framework устанавливает бэкдоры и руткиты

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.066
Репутация
11.695
Реакции
61.876
RUB
50
Аналитики из компании Intezer называют новую Linux-малварь настоящим «швейцарским ножом» из-за ее модульной архитектуры, а также способности устанавливать руткиты и бэкдоры.


«Фреймворк имеет как пассивные, так и активные возможности для связи со злоумышленником, включая открытие SSH на зараженной машине, а также полиморфную и гибкую конфигурацию для C&C», — рассказывает специалист Intezer Райан Робинсон.

Похоже, пока малварь не использовалась в настоящих атаках, но исследователям удалось изучить некоторые ее компоненты, и они говорят, что прочее «еще предстоит найти и проанализировать».

Известно, что Lightning Framework имеет достаточно простую структуру: основной компонент-загрузчик (kbioset), который загружает и устанавливает на скомпрометированные устройства другие модули и плагины малвари, включая основной модуль (kkdmflush).



Главной задачей основного модуля является установление связи с управляющим и получение команд, необходимых для выполнения разных плагинов, а также сокрытие присутствия на скомпрометированной машине. К примеру, для маскировки вредонос использует тайпсквоттинг и маскируется под менеджер паролей и ключей Seahorse.

Другие способы маскировки включают изменение временных меток вредоносных артефактов с помощью timestomping'а, а также сокрытие PID и любых связанных сетевых портов с помощью одного из нескольких руткитов, которые способен развернуть Lightning Framework. Закрепиться в системе вредонос может, создав скрипт с именем elastisearch в /etc/rc.d/init.d/, который будет выполняться при каждой загрузке системы и вновь запускать модуль загрузчика для повторного заражения устройства.

Кроме того, Lightning Framework добавляет в зараженную систему собственный бэкдор на основе SSH: запускает SSH-сервер с помощью одного из загруженных плагинов (Linux.Plugin.Lightning.Sshd). В итоге это позволит злоумышленникам подключаться к зараженным машинам по SSH, используя собственные ключи SSH.

«Lightning Framework — интересное вредоносное ПО, поскольку редко можно увидеть такую масштабную платформу, разработанную для Linux, — резюмирует Робинсон. — Хотя у нас нет всех файлов, мы можем делать выводы о некоторых недостающих функциях на основе строк и кода модулей, которые есть в нашем распоряжении».

 
Сверху Снизу