Sikkerhedsforskere detaljerede opdagelsen af en ny, tidligere uopdaget malwareprøve, der er specielt designet til at målrette mod Linux-miljøet. Malwaren fremviser sofistikerede egenskaber og er "en indviklet ramme udviklet til målretning mod Linux-systemer,” sagde Intezer-forskere i deres tekniske analyse.
Lightning Framework Linux Malware Teknisk oversigt
"Lyn er en modulopbygget ramme, vi har opdaget, som har et væld af muligheder, og muligheden for at installere flere typer rootkit, samt muligheden for at køre plugins,” forklarede rapporten. Heldigvis, indtil videre har der ikke været indikationer på, at malwaren bliver brugt i naturen.
Hvad har forskerne opdaget om strukturen af Lightning Framework?
Lyn.Downloader
Rammen består af en downloader og et kernemodul, med en række plugins, hvoraf nogle er open source. Lightning.Downloaders hovedfunktion er at hente de andre komponenter og udføre hovedmodulet.
Det er bemærkelsesværdigt, at rammen er stærkt afhængig af typosquatting (også kendt som URL highjacking) og maskerer sig for at forblive uopdaget på kompromitterede Linux-systemer. Downloaderen er indstillet til at fingeraftrykke værtsnavnet og netværksadaptere for at generere en GUID (globalt unik identifikator), som vil blive sendt til kommando- og kontrolserveren.
Kommunikationen med kommando-og-kontrol-serveren sker for at hente følgende plugins og moduler:
- Linux.Plugin.Lightning.SsHijacker
- Linux.Plugin.Lightning.Sshd
- Linux.Plugin.Lightning.Nethogs
- Linux.Plugin.Lightning.iftop
- Linux.Plugin.Lightning.iptraf
- Lightning.Core
Lightning.Core
Kernemodulet, som er rammens hovedmodul, kan modtage kommandoer fra kommando-og-kontrol server for at udføre plugin-modulerne ovenfor. Ikke overraskende, modulet har flere muligheder og bruger adskillige teknikker til at skjule artefakter og forblive kørende uopdaget.
Andre Detaljer
Netværkskommunikation i Core- og Downloader-modulerne foregår over TCP-stik. Dataene er struktureret i JSON, og kommando-og-kontrol-serveren er gemt i en polymorf kodet konfigurationsfil, der er unik for hver enkelt skabelse. "Det betyder, at konfigurationsfiler ikke vil være i stand til at blive opdaget gennem teknikker såsom hashes. Nøglen er indbygget i starten af den kodede fil,”forskerne tilføjet.
Et andet eksempel på en ny Linux malware er Symbiote malware. Opdaget af Blackberry-forskere, malwaren er designet til at inficere alle kørende processer på inficerede maskiner, og er i stand til at stjæle kontooplysninger og give bagdørsadgang til sine operatører.
Den første opdagelse skete i november 2021, da det blev opdaget i angreb mod finansielle organisationer i Latinamerika. Malwaren er i stand til at skjule sig selv efter infektionen, gør det meget svært at opdage.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: