セキュリティ研究者は、新しい発見について詳しく説明しました, Linux環境を標的とするように特別に設計された以前は検出されなかったマルウェアサンプル. このマルウェアは高度な機能を示し、「Linuxシステムを標的とするために開発された複雑なフレームワークです。,インテザーの研究者はテクニカル分析で言った.
LightningFrameworkLinuxマルウェアの技術概要
「Lightningは、私たちが発見したモジュラーフレームワークであり、多数の機能を備えています。, 複数のタイプのルートキットをインストールする機能, プラグインを実行する機能と同様に,」レポートは説明しました. 幸運, これまでのところ、マルウェアが実際に使用されているという兆候はありません。.
LightningFrameworkの構造について研究者は何を発見しましたか?
Lightning.Downloader
フレームワークは、ダウンローダーとコアモジュールで構成されています, いくつかのプラグインで, そのうちのいくつかはオープンソース. Lightning.Downloaderの主な機能は、他のコンポーネントを取得してメインモジュールを実行することです。.
フレームワークがタイポスクワッティングに大きく依存していることは注目に値します (URLハイジャックとも呼ばれます) 侵害されたLinuxシステムで検出されないままになりすます. ダウンローダーは、GUIDを生成するためにホスト名とネットワークアダプターをフィンガープリントするように設定されています (グローバルに一意の識別子), これはコマンドおよび制御サーバーに送信されます.
コマンドアンドコントロールサーバーとの通信は、次のプラグインとモジュールをフェッチするために行われます。:
- Linux.Plugin.Lightning.SsHijacker
- Linux.Plugin.Lightning.Sshd
- Linux.Plugin.Lightning.Nethogs
- Linux.Plugin.Lightning.iftop
- Linux.Plugin.Lightning.iptraf
- Lightning.Core
Lightning.Core
コアモジュール, フレームワークのメインモジュールです, からコマンドを受け取ることができます コマンドアンドコントロールサーバー 上記のプラグインモジュールを実行するには. 驚くことではないが, モジュールには複数の機能があり、多数の手法を利用してアーティファクトを非表示にし、検出されずに実行され続けます.
その他の詳細
コアモジュールとダウンローダーモジュールのネットワーク通信は、TCPソケットを介して行われます。. データはJSONで構造化されています, コマンドアンドコントロールサーバーは、作成ごとに一意の多態的なエンコードされた構成ファイルに保存されます. 「これは、ハッシュなどの手法では構成ファイルを検出できないことを意味します. キーは、エンコードされたファイルの先頭に組み込まれています,」研究者 追加した.
新しいLinuxマルウェアのもう1つの例は、 Symbioteマルウェア. ブラックベリーの研究者によって発見された, マルウェアは、感染したマシンで実行中のすべてのプロセスに感染するように設計されています, アカウントのクレデンシャルを盗み、そのオペレーターにバックドアアクセスを提供することができます.
最初の検出は11月に発生しました 2021, ラテンアメリカの金融機関に対する攻撃で発見されたとき. マルウェアは、感染後に自分自身を隠すことができます, 検出が非常に困難になります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: