Linux Intezer тайпсквоттинг Lightning Framework вредоносное ПО
Новый модульный Linux-вредонос имеет поддержку плагинов, а также умеет устанавливать бэкдоры и руткиты.
Сегодня компания Intezer опубликовала отчет, в котором подробно описала новое вредоносное ПО Lightning Framework, сравнив его со швейцарским армейским ножом. По словам специалистов, Lightning Framework представляет из себя крайне гибкую модульную программу с поддержкой плагинов. Кроме того, фреймворк имеет пассивные и активные возможности для связи с хакером, а также гибкую, полиморфную настройку C&C.
Вредонос использует тайпсквоттинг и маскируется под менеджер паролей и ключей шифрования Seahorse , чтобы избежать обнаружения на зараженных системах.
Установив связь с C&C сервером через TCP-сокеты, Lighting Framework загружает с него зашифрованные полиморфные конфигурационные файлы, которые использует для сборки плагинов и основного модуля kdmflush.
Схема фреймворкаKdmflush является главным модулем фреймворка и используется вредоносной программой для получения команд с C&C-сервера и запуска своих плагинов.
Чтобы оставаться невидимым для систем безопасности, Lighting Framework редактирует временные метки вредоносных артефактов с помощью изменения двоичного файла и скрывает свой идентификатор процесса и любых связанных с ним сетевых портов с помощью одного из нескольких развертываемых руткитов.
Вредонос закрепляется в системе с помощью скрипта elastisearch, который создается в каталоге /etc/rc.d/init.d/. Скрипт выполняется при каждой загрузке системы, запускает модуль-загрузчик и повторно заражает устройство.
И последнее, но не по значению: фреймворк способен установить SSH-бэкдор, запуская на устройстве жертвы SSH-сервер с помощью одного из загруженных плагинов (Linux.Plugin.Lightning.Sshd).
По словам специалистов, вредоносная программа ещё не была использована в дикой природе, поэтому некоторые функции еще только предстоит найти и проанализировать, опираясь на известные строки кода и модули.
Напомним, до этого Intezer обнаружили другой Linux-вредонос под названием Orbit. Он предоставляет хакерам удаленный доступ к Linux-системам по SSH, позволяет красть учетные данные пользователей и регистрировать tty-команды.
SECURITYLAB.RU
