Вредоносное ПО Lightning Framework: универсальное, как швейцарский армейский нож

Вредоносное ПО Lightning Framework: универсальное, как швейцарский армейский нож

Новый модульный Linux-вредонос имеет поддержку плагинов, а также умеет устанавливать бэкдоры и руткиты.

image

Сегодня компания Intezer опубликовала отчет, в котором подробно описала новое вредоносное ПО Lightning Framework, сравнив его со швейцарским армейским ножом. По словам специалистов, Lightning Framework представляет из себя крайне гибкую модульную программу с поддержкой плагинов. Кроме того, фреймворк имеет пассивные и активные возможности для связи с хакером, а также гибкую, полиморфную настройку C&C.

Вредонос использует тайпсквоттинг и маскируется под менеджер паролей и ключей шифрования Seahorse , чтобы избежать обнаружения на зараженных системах.

Установив связь с C&C сервером через TCP-сокеты, Lighting Framework загружает с него зашифрованные полиморфные конфигурационные файлы, которые использует для сборки плагинов и основного модуля kdmflush.

Схема фреймворка

Kdmflush является главным модулем фреймворка и используется вредоносной программой для получения команд с C&C-сервера и запуска своих плагинов.

Чтобы оставаться невидимым для систем безопасности, Lighting Framework редактирует временные метки вредоносных артефактов с помощью изменения двоичного файла и скрывает свой идентификатор процесса и любых связанных с ним сетевых портов с помощью одного из нескольких развертываемых руткитов.

Вредонос закрепляется в системе с помощью скрипта elastisearch, который создается в каталоге /etc/rc.d/init.d/. Скрипт выполняется при каждой загрузке системы, запускает модуль-загрузчик и повторно заражает устройство.

И последнее, но не по значению: фреймворк способен установить SSH-бэкдор, запуская на устройстве жертвы SSH-сервер с помощью одного из загруженных плагинов (Linux.Plugin.Lightning.Sshd).

По словам специалистов, вредоносная программа ещё не была использована в дикой природе, поэтому некоторые функции еще только предстоит найти и проанализировать, опираясь на известные строки кода и модули.

Напомним, до этого Intezer обнаружили другой Linux-вредонос под названием Orbit. Он предоставляет хакерам удаленный доступ к Linux-системам по SSH, позволяет красть учетные данные пользователей и регистрировать tty-команды.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!