Beveiligingsonderzoekers hebben de ontdekking van een nieuwe, eerder niet-gedetecteerde malware-sample die speciaal is ontworpen om de Linux-omgeving te targeten. De malware toont geavanceerde mogelijkheden en is "een ingewikkeld raamwerk dat is ontwikkeld om Linux-systemen te targeten".,"Intezer-onderzoekers zeiden in hun technische analyse".
Technisch overzicht van Lightning Framework Linux Malware
"Lightning is een modulair raamwerk dat we hebben ontdekt en dat een overvloed aan mogelijkheden heeft, en de mogelijkheid om meerdere soorten rootkits te installeren, evenals de mogelijkheid om plug-ins uit te voeren,"Het rapport legde uit". Gelukkig, tot nu toe zijn er geen aanwijzingen dat de malware in het wild wordt gebruikt.
Wat hebben de onderzoekers ontdekt over de structuur van Lightning Framework?
Lightning.Downloader
Het framework bestaat uit een downloader en een kernmodule, met een aantal plug-ins, waarvan sommige open source. De belangrijkste functie van Lightning.Downloader is om de andere componenten op te halen en de hoofdmodule uit te voeren.
Het is opmerkelijk dat het raamwerk sterk afhankelijk is van typosquatting (ook bekend als URL-hacking) en zich voordoen om onopgemerkt te blijven op gecompromitteerde Linux-systemen. De downloader is ingesteld om de hostnaam en netwerkadapters te vingerafdrukken om een GUID te genereren (wereldwijd unieke identificatie), die naar de command and control-server wordt gestuurd.
De communicatie met de command-and-control-server wordt gedaan om de volgende plug-ins en modules op te halen::
- Linux.Plugin.Lightning.SsHijacker
- Linux.Plugin.Lightning.Sshd
- Linux.Plugin.Lightning.Nethogs
- Linux.Plugin.Lightning.iftop
- Linux.Plugin.Lightning.iptraf
- Bliksem.Kern
Bliksem.Kern
De kernmodule, wat de hoofdmodule van het raamwerk is, kan commando's ontvangen van de command-and-control-server om de hierboven vermelde plug-inmodules uit te voeren. Niet verrassend, de module heeft meerdere mogelijkheden en maakt gebruik van talloze technieken om artefacten te verbergen en onopgemerkt te blijven.
Andere details
Netwerkcommunicatie in de Core- en Downloader-modules vindt plaats via TCP-sockets. De gegevens zijn gestructureerd in JSON, en de command-and-control-server wordt opgeslagen in een polymorf gecodeerd configuratiebestand dat uniek is voor elke afzonderlijke creatie. “Dit betekent dat configuratiebestanden niet kunnen worden gedetecteerd via technieken zoals hashes. De sleutel is ingebouwd in het begin van het gecodeerde bestand," de onderzoekers toegevoegd.
Een ander voorbeeld van een nieuwe Linux-malware is: de Symbiote-malware. Ontdekt door Blackberry-onderzoekers, de malware is ontworpen om alle actieve processen op geïnfecteerde machines te infecteren, en is in staat om accountgegevens te stelen en achterdeurtoegang te verlenen aan zijn operators.
De eerste detectie vond plaats in november 2021, toen het werd ontdekt bij aanvallen op financiële organisaties in Latijns-Amerika. De malware kan zichzelf verbergen na de infectie, waardoor het erg moeilijk te detecteren is.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: