Door Sergiu Gatlan
Een nog niet eerder ontdekte malware, met de naam 'Lightning Framework', gericht op Linux-systemen, kan worden gebruikt om
geïnfecteerde apparaten via SSH te backdooren en rootkits in te zetten, om de sporen van de aanvallers uit te wissen.
Lightning Framework wordt in een vandaag door Intezer gepubliceerd rapport beschreven als een "Zwitsers legermes" en is een
modulaire malware die ook plugins ondersteunt.
"Het framework heeft zowel passieve als actieve mogelijkheden voor communicatie met de threat actor, inclusief het openen van SSH
op een geïnfecteerde machine, en een polymorfe kneedbare commando- en controleconfiguratie,"
aldus Intezer beveiligingsonderzoeker Ryan Robinson.
Deze malware is nog niet in het wild gesignaleerd en sommige onderdelen ervan (waarnaar in de broncode wordt verwezen) moeten
nog worden gevonden en geanalyseerd.
Lightning Framework is opgebouwd volgens een eenvoudige structuur: een downloader-component, die de andere modules en
plugins van de malware, waaronder de kernmodule, downloadt en installeert op aangetaste Linux-apparaten.
De malware maakt gebruik van typosquatting en doet zich voor als de Seahorse GNOME wachtwoord- en coderingssleutelbeheerder
om detectie op geïnfecteerde systemen te omzeilen.
Na het bereiken van zijn command-and-control (C2)-server via TCP-sockets met behulp van C2-informatie, die is opgeslagen in
niet-detecteerbare polymorf gecodeerde configuratiebestanden, haalt Lightning Framework zijn plugins en de kernmodule op.
Lightning framework lay-out (Intezer)
Deze kernmodule (kkdmflush) is de hoofdmodule van het framework en is degene die de malware gebruikt om opdrachten te
ontvangen van zijn C2-server en om zijn plugins uit te voeren.
"De module heeft veel mogelijkheden en gebruikt een aantal technieken om artefacten te verbergen om onder de radar te blijven,"
voegde Robinson eraan toe.
Andere methoden om zijn aanwezigheid te verbergen zijn het wijzigen van timestamps van schadelijke artefacten met behulp van
timestomping en het verbergen van zijn proces-ID (PID) en eventuele gerelateerde netwerkpoorten met behulp van een van de
verschillende rootkits die hij kan inzetten.
Het kan ook persistentie bereiken door een script genaamd elastisearch aan te maken onder /etc/rc.d/init.d/ dat bij elke systeemstart
wordt uitgevoerd om de downloader-module te starten en het apparaat opnieuw te infecteren.
Last but not least voegt deze malware ook zijn eigen SSH-gebaseerde achterdeur toe, door een SSH-server te starten met behulp
van een van de gedownloade plugins (Linux.Plugin.Lightning.Sshd).
De nieuw opgestarte OpenSSH daemon heeft hardcoded privé- en hostsleutels, waardoor aanvallers met hun eigen SSH-sleutels
kunnen SSH-en op de geïnfecteerde machines.
"Het Lightning Framework is een interessante malware, omdat het niet vaak voorkomt dat zo'n groot framework wordt ontwikkeld
voor het aanvallen van Linux," concludeerde Robinson.
"Hoewel we niet alle bestanden hebben, kunnen we een deel van de ontbrekende functionaliteit afleiden op basis van strings en code
van de modules die we wel bezitten."
Tekenen van een golf van Linux-malware?
Lightning Framework is slechts de laatste Linux-malwarestam die in staat is om apparaten volledig te compromitteren en te
backdooren en die onlangs is opgedoken.
Beveiligingsonderzoekers van Intezer hebben ook OrBit ontdekt, een heimelijke malware die gedeelde bibliotheken kaapt om
functieaanroepen te onderscheppen om informatie te stelen van backdoored Linux-systemen en alle draaiende processen te infecteren.
Symbiote, een andere malware gericht op Linux-apparaten die door onderzoekers van BlackBerry en Intezer gezamenlijk is geanalyseerd,
werkt als een systeembrede parasiet, die geen tekenen van infectie achterlaat en gebruikt dezelfde tactiek om zichzelf in lopende
processen te laden.
Onderzoekers hebben ook een sluipende achterdeur met de naam BPFDoor ontdekt, die al meer dan vijf jaar onopgemerkt Linux- en
Solaris-systemen benadert en firewalls omzeilt voor toegang op afstand.
Een vierde soort Linux-malware, een rootkit met de naam Syslogk die vorige maand door Avast-onderzoekers werd onthuld, kan modules
in de Linux-kernel forceren, geïnfecteerde machines backdooren en netwerkverkeer en -artefacten verbergen om detectie te vermijden.
"Malware gericht op Linux-omgevingen nam in 2021 een hoge vlucht, met een grote hoeveelheid innovatie die resulteerde in nieuwe
kwaadaardige code, vooral in ransomwares, trojans en botnets," zei Robinson.
"Met de toename van het gebruik van de cloud is het geen wonder dat de innovatie van malware in dit domein nog steeds razendsnel gaat."
Bron: