Nieuw gevonden Lightning Framework biedt een overvloed aan Linux-hackmogelijkheden

Het softwareframework is tegenwoordig essentieel geworden voor het ontwikkelen van bijna alle complexe software. Het Django-webframework bundelt bijvoorbeeld alle bibliotheken, afbeeldingsbestanden en andere componenten die nodig zijn om snel web-apps te bouwen en te implementeren, waardoor het een steunpilaar is bij bedrijven als Google, Spotify en Pinterest. Frameworks bieden een platform dat gemeenschappelijke functies uitvoert, zoals logboekregistratie en authenticatie, gedeeld door een app-ecosysteem.

Vorige week onthulden onderzoekers van beveiligingsbedrijf Intezer het Lightning Framework, een modulair malwareraamwerk voor Linux dat tot nu toe ongedocumenteerd was. Lightning Framework is post-exploit-malware, wat betekent dat het wordt geïnstalleerd nadat een aanvaller al toegang heeft gekregen tot een gerichte machine. Eenmaal geïnstalleerd, kan het dezelfde efficiëntie en snelheid bieden voor Linux-compromissen die Django biedt voor webontwikkeling.

“Het is zeldzaam om zo’n ingewikkeld raamwerk te zien dat is ontwikkeld om Linux-systemen te targeten”, schreef Ryan Robinson, een beveiligingsonderzoeker bij Intezer, in een bericht. “Lightning is een modulair raamwerk dat we hebben ontdekt en dat een overvloed aan mogelijkheden heeft, en de mogelijkheid om meerdere soorten rootkits te installeren, evenals de mogelijkheid om plug-ins uit te voeren.”

Entezer

Lightning bestaat uit een downloader met de naam Lightning.Downloader en een kernmodule met de naam Lightning.Core. Ze maken verbinding met een aangewezen opdracht- en controleserver om respectievelijk software te downloaden en opdrachten te ontvangen. Gebruikers kunnen dan elk van ten minste zeven modules uitvoeren die allerlei andere snode dingen doen. Mogelijkheden omvatten zowel passieve als actieve communicatie met de dreigingsactor, inclusief het openen van een beveiligde shell op de geïnfecteerde machine en een polymorf, kneedbaar commando.

Het framework heeft zowel passieve als actieve mogelijkheden voor communicatie met de dreigingsactor, inclusief het openen van SSH op een geïnfecteerde machine, en ondersteuning voor het verbinden met commando- en controleservers die kneedbare profielen gebruiken. Malware-frameworks bestaan ​​al jaren, maar er zijn er niet veel die zoveel uitgebreide ondersteuning bieden voor het hacken van Linux-machines.

In een e-mail zei Robinson dat Entezer de malware op VirusTotal had gevonden. Hij schreef:

De entiteit die het heeft ingediend, lijkt verband te houden met een Chinese productieorganisatie die kleine motortoestellen maakt. We hebben dit gevonden op basis van andere inzendingen van dezelfde indiener. Ik heb vingerafdrukken genomen van de server die we gebruikten om het bedrijf te identificeren en ze gebruikten inderdaad Centos (waarvoor de malware was gecompileerd). Maar dit is nog steeds niet solide genoeg om te concluderen dat zij het doelwit waren of besmet waren met de malware. We hebben niets nieuws geleerd sinds de publicatie. Het ideale dat we hopen te vinden, is een van de versleutelde, kneedbare C2-configuratieprofielen. Het zou ons netwerk-IOC’s geven om uit te draaien.

Intezer was in staat om delen van het raamwerk te verkrijgen, maar niet alles. Uit de bestanden die de bedrijfsonderzoekers konden analyseren, konden ze de aanwezigheid van andere modules afleiden. Het bedrijf gaf het volgende overzicht:

Naam Naam op schijf Beschrijving
Lightning.Downloader kbioset De permanente module die de kernmodule en zijn plug-ins downloadt
Bliksem.Kern kkdmflush De hoofdmodule van het Lightning Framework
Linux.Plugin.Lightning.SsHijacker soss Er is een verwijzing naar deze module, maar er is nog geen monster in het wild gevonden.
Linux.Plugin.Lightning.Sshd sshod OpenSSH met hardgecodeerde privé- en hostsleutels
Linux.Plugin.Lightning.Nethogs nethoogs Er is een verwijzing naar deze module, maar er is nog geen monster in het wild gevonden. Vermoedelijk de software Nethogs
Linux.Plugin.Lightning.iftop iftoop Er is een verwijzing naar deze module, maar er is nog geen monster in het wild gevonden. Vermoedelijk de software iftop
Linux.Plugin.Lightning.iptraf iptraof Er is een verwijzing naar deze module, maar er is nog geen monster in het wild gevonden. Vermoedelijk de software IPTraf
Linux.Plugin.RootkieHide libsystemd.so.2 Er is een verwijzing naar deze module, maar er is nog geen monster in het wild gevonden. LD_PRELOAD Rootkit
Linux.Plugin.Kernel elastisearch.ko Er is een verwijzing naar deze module, maar er is nog geen monster in het wild gevonden. LKM-rootkit

Tot nu toe zijn er geen gevallen bekend waarin het Lightning Framework actief in het wild wordt gebruikt. Aan de andere kant, gezien de overvloed aan beschikbare mogelijkheden, maakt state-of-the-art stealth ongetwijfeld deel uit van het pakket.

Leave a Comment