Sicherheitsforscher detailliert die Entdeckung eines neuen, zuvor unentdecktes Malware-Beispiel, das speziell für die Linux-Umgebung entwickelt wurde. Die Malware weist ausgeklügelte Fähigkeiten auf und ist „ein kompliziertes Framework, das für den Angriff auf Linux-Systeme entwickelt wurde,“, sagten die Forscher von Intezer in ihrer technischen Analyse.
Technische Übersicht über Lightning Framework Linux-Malware
„Lightning ist ein modulares Framework, das wir entdeckt haben und das über eine Fülle von Funktionen verfügt, und die Möglichkeit, mehrere Arten von Rootkits zu installieren, sowie die Möglichkeit, Plugins auszuführen,“, erklärte der Bericht. Zum Glück, Bisher gibt es keine Hinweise darauf, dass die Malware in freier Wildbahn verwendet wird.
Was haben die Forscher über die Struktur von Lightning Framework herausgefunden??
Lightning.Downloader
Das Framework besteht aus einem Downloader und einem Kernmodul, mit einer Reihe von Plugins, einige davon Open Source. Die Hauptfunktion von Lightning.Downloader besteht darin, die anderen Komponenten abzurufen und das Hauptmodul auszuführen.
Es ist bemerkenswert, dass das Framework stark auf Typosquatting basiert (auch bekannt als URL-Highjacking) und sich maskieren, um auf kompromittierten Linux-Systemen unentdeckt zu bleiben. Der Downloader ist so eingestellt, dass er den Hostnamen und die Netzwerkadapter abtastet, um eine GUID zu generieren (weltweit eindeutige Kennung), die an den Command-and-Control-Server gesendet werden.
Die Kommunikation mit dem Command-and-Control-Server erfolgt zum Abrufen der folgenden Plugins und Module:
- Linux.Plugin.Lightning.SsHijacker
- Linux.Plugin.Lightning.Sshd
- Linux.Plugin.Lightning.Nethogs
- Linux.Plugin.Lightning.iftop
- Linux.Plugin.Lightning.iptraf
- Lightning.Core
Lightning.Core
Das Kernmodul, das ist das Hauptmodul des Frameworks, kann Befehle von empfangen Command-and-Control-Server um die oben aufgeführten Plugin-Module auszuführen. Nicht überraschend, Das Modul verfügt über mehrere Funktionen und verwendet zahlreiche Techniken, um Artefakte zu verbergen und unentdeckt zu bleiben.
Andere Details
Die Netzwerkkommunikation in den Core- und Downloader-Modulen findet über TCP-Sockets statt. Die Daten sind in JSON strukturiert, und der Command-and-Control-Server ist in einer polymorph codierten Konfigurationsdatei gespeichert, die für jede einzelne Kreation einzigartig ist. „Das bedeutet, dass Konfigurationsdateien nicht durch Techniken wie Hashes erkannt werden können. Der Schlüssel wird am Anfang der verschlüsselten Datei eingebaut," die Forscher hinzugefügt.
Ein weiteres Beispiel für eine neue Linux-Malware ist die Symbiote-Malware. Von Blackberry-Forschern entdeckt, Die Malware soll alle laufenden Prozesse auf infizierten Rechnern infizieren, und ist in der Lage, Kontoanmeldeinformationen zu stehlen und seinen Betreibern Hintertürzugriff zu gewähren.
Der erste Nachweis erfolgte im November 2021, als es bei Angriffen auf Finanzorganisationen in Lateinamerika entdeckt wurde. Die Malware ist in der Lage, sich nach der Infektion zu verstecken, wodurch es sehr schwer zu erkennen ist.