Аналитики из компании Intezer называют новую Linux-малварь
настоящим «швейцарским ножом» из-за ее модульной архитектуры, а также способности устанавливать руткиты и бэкдоры.
Похоже, пока малварь не использовалась в настоящих атаках, но исследователям удалось изучить некоторые ее компоненты, и они говорят, что прочее «еще предстоит найти и проанализировать».
Известно, что Lightning Framework имеет достаточно простую структуру: основной компонент-загрузчик (kbioset), который загружает и устанавливает на скомпрометированные устройства другие модули и плагины малвари, включая основной модуль (kkdmflush).
Главной задачей основного модуля является установление связи с управляющим и получение команд, необходимых для выполнения разных плагинов, а также сокрытие присутствия на скомпрометированной машине. К примеру, для маскировки вредонос использует тайпсквоттинг и маскируется под менеджер паролей и ключей Seahorse.
Другие способы маскировки включают изменение временных меток вредоносных артефактов с помощью timestomping'а, а также сокрытие PID и любых связанных сетевых портов с помощью одного из нескольких руткитов, которые способен развернуть Lightning Framework. Закрепиться в системе вредонос может, создав скрипт с именем elastisearch в /etc/rc.d/init.d/, который будет выполняться при каждой загрузке системы и вновь запускать модуль загрузчика для повторного заражения устройства.
Кроме того, Lightning Framework добавляет в зараженную систему собственный бэкдор на основе SSH: запускает SSH-сервер с помощью одного из загруженных плагинов (Linux.Plugin.Lightning.Sshd). В итоге это позволит злоумышленникам подключаться к зараженным машинам по SSH, используя собственные ключи SSH.
Похоже, пока малварь не использовалась в настоящих атаках, но исследователям удалось изучить некоторые ее компоненты, и они говорят, что прочее «еще предстоит найти и проанализировать».
Известно, что Lightning Framework имеет достаточно простую структуру: основной компонент-загрузчик (kbioset), который загружает и устанавливает на скомпрометированные устройства другие модули и плагины малвари, включая основной модуль (kkdmflush).
Главной задачей основного модуля является установление связи с управляющим и получение команд, необходимых для выполнения разных плагинов, а также сокрытие присутствия на скомпрометированной машине. К примеру, для маскировки вредонос использует тайпсквоттинг и маскируется под менеджер паролей и ключей Seahorse.
Другие способы маскировки включают изменение временных меток вредоносных артефактов с помощью timestomping'а, а также сокрытие PID и любых связанных сетевых портов с помощью одного из нескольких руткитов, которые способен развернуть Lightning Framework. Закрепиться в системе вредонос может, создав скрипт с именем elastisearch в /etc/rc.d/init.d/, который будет выполняться при каждой загрузке системы и вновь запускать модуль загрузчика для повторного заражения устройства.
Кроме того, Lightning Framework добавляет в зараженную систему собственный бэкдор на основе SSH: запускает SSH-сервер с помощью одного из загруженных плагинов (Linux.Plugin.Lightning.Sshd). В итоге это позволит злоумышленникам подключаться к зараженным машинам по SSH, используя собственные ключи SSH.
