一种前所未见的Linux恶意软件因其模块化架构和安装rootkit的能力而被称为“瑞士军刀”。
这种以前未被发现的Linux威胁,由Intezer称为Lightning Framework,配备了大量功能,使其成为针对Linux系统开发的最复杂的框架之一。
“该框架具有与威胁参与者通信的被动和主动功能,包括在受感染的机器上打开SSH,以及多态可延展的命令和控制配置,”Intezer研究员Ryan Robinson在今天发表的一份新报告中说。
恶意软件的核心是下载器(“kbioset”)和核心(“kkdmflush”)模块,前者旨在从远程服务器检索至少七个不同的插件,这些插件随后由核心组件调用。
此外,下载程序还负责建立框架主模块的持久性。“下载器模块的主要功能是获取其他组件并执行核心模块,”Robinson指出。
就其本身而言,核心模块与命令与控制(C2)服务器建立联系,以获取执行插件所需的必要命令,同时还要注意隐藏自己在受感染机器中的存在。
从服务器收到的一些值得注意的命令使恶意软件能够对机器进行指纹识别,运行shell命令,将文件上传到C2服务器,将任意数据写入文件,甚至更新并从受感染的主机中删除自身。
它通过创建在系统引导时执行的初始化脚本来进一步设置持久性,从而有效地允许自动启动下载程序。
“闪电框架是一个有趣的恶意软件,因为看到为针对Linux开发如此庞大的框架并不常见,”罗宾逊指出。
Lightning Framework的发现使其成为继BPFDoor,Symbiote,Syslogk和OrBit之后短短三个月内出土的第五个Linux恶意软件样本。
| 留言与评论(共有 0 条评论) “” |
