Linux sistemlerini hedefleyen daha önce tespit edilmemiş bir kötü amaçlı yazılım, SSH kullanan ve saldırganların parçalarını kapsayacak şekilde rootkits kullanan arka kapı enfekte cihazları için kullanılabilir.
Bugün Intezer tarafından yayınlanan bir raporda "İsviçre Ordu Bıçağı" olarak tanımlanan Lightning Framework, eklentiler için destek ile birlikte gelen modüler bir kötü amaçlı yazılımdır.
Intezer Güvenlik Araştırmacısı Ryan Robinson, "Çerçeve, enfekte bir makinede SSH açmak ve polimorfik dövülebilir bir komut ve kontrol konfigürasyonu da dahil olmak üzere tehdit oyuncusu ile iletişim için hem pasif hem de aktif yeteneklere sahiptir." Dedi.
Bu kötü amaçlı yazılım henüz vahşi doğada tespit edilmemiştir ve bazı bileşenleri (kaynak kodda referans alınmıştır) henüz bulunmamış ve analiz edilmemiştir.
Lightning Framework, basit bir yapı kullanılarak oluşturulur: Kötü amaçlı yazılımların temel modülü de dahil olmak üzere diğer modüllerini ve eklentilerini, tehlikeye atılan Linux cihazlarına indirecek ve yükleyecek bir indirici bileşeni.
Kötü amaçlı yazılım yazım hatası kullanır ve enfekte sistemlerde algılamadan kaçınmak için Seahorse Gnome şifresi ve şifreleme anahtar yöneticisi olarak maskelenir.
Tespit edilemez polimorfik kodlanmış yapılandırma dosyalarında depolanan C2 bilgilerini kullanarak TCP soketleri üzerinden komut ve kontrol (C2) sunucusuna ulaştıktan sonra, Lightning Framework eklentilerini ve çekirdek modülü getirir.
Bu çekirdek modülü (kkdmflush) çerçevenin ana modülüdür ve C2 sunucusundan komut almak ve eklentilerini yürütmek için kötü amaçlı yazılımlardır.
Robinson, "Modülün birçok özelliği var ve eserleri radar altında koşmaya devam etmek için gizlemek için bir dizi teknik kullanıyor."
Varlığını gizlemek için diğer yöntemler arasında, süreç kimliğini (PID) zamanlama ve gizleme kullanarak kötü amaçlı eserlerin zaman damgalarını değiştirme ve dağıtabileceği birkaç rootkitlerden birini kullanarak ilgili ağ bağlantı noktaları yer alır.
Ayrıca /etc/rc.d/init.d/ altında Elastisearch adlı bir komut dosyası oluşturarak, indirici modülünü başlatmak ve cihazı yeniden canlandırmak için her sistem önyüklemesinde yürütülen bir komut dosyası oluşturabilir.
Son olarak, bu kötü amaçlı yazılım, indirilen eklentilerden birini (linux.plugin.lightning.sshd) kullanarak bir SSH sunucusunu başlatarak kendi SSH tabanlı arka kapısını da ekleyecektir.
Yeni başlatılan Openssh Daemon, özel ve ana bilgisayar anahtarlarına sahip ve saldırganların kendi SSH tuşlarını kullanarak enfekte makinelere SSH'ye girmesini sağladı.
Robinson, "Lightning çerçevesi ilginç bir kötü amaçlı yazılımdır, çünkü Linux'u hedeflemek için geliştirilen büyük bir çerçeve görmek yaygın değildir."
"Tüm dosyalara sahip olmamamıza rağmen, sahip olduğumuz modüllerin dizelerine ve kodlarına dayalı olarak eksik işlevselliğin bazılarını çıkarabiliriz."
Lightning Framework, son zamanlarda ortaya çıkan tamamen uzlaşan ve geri kapı kaplama cihazlarını tam olarak uzlaştırabilen en son Linux kötü amaçlı yazılım gerginliğidir.
Intezer güvenlik araştırmacıları ayrıca, geride kalan Linux sistemlerinden bilgi çalmak ve tüm çalışan süreçleri enfekte etmek için işlev çağrılarını engellemek için paylaşılan kütüphaneleri ele geçiren gizli bir kötü amaçlı yazılım olan yörüngeyi tespit ettiler.
BlackBerry ve Intenzer araştırmacıları tarafından ortaklaşa analiz edilen Linux cihazlarını hedefleyen başka bir kötü amaçlı yazılım olan Symbiote, sistem çapında bir parazit görevi görmez ve aynı taktiği kendini çalışma süreçlerine yüklemek için kullanır.
Araştırmacılar ayrıca BPFDoor adlı gizli bir arka kapıyı, beş yıldan fazla bir süredir tespit edilmeyen Linux ve Solaris sistemlerini gizlice hedeflediğini ve uzaktan erişim için güvenlik duvarlarını atladığını fark ettiler.
Geçen ay Avast araştırmacıları tarafından tanıtılan Syslogk olarak adlandırılan bir rootkit olan dördüncü bir Linux kötü amaçlı yazılım suşu, modüllerini Linux çekirdeğine, arka kapı enfekte edilmiş makinelere zorlama ve algılamadan kaçmak için ağ trafiğini ve eserleri gizleme yeteneğine sahiptir.
Robinson, "2021'de Linux ortamlarını hedefleyen kötü amaçlı yazılım, özellikle Ransomwares, Truva atları ve botnetlerde yeni kötü amaçlı kodlarla sonuçlanan büyük miktarda inovasyonla arttı." Dedi.
"Bulutun kullanımındaki artışla, kötü amaçlı yazılım inovasyonunun hala bu alanda son hızda hızlanması şaşırtıcı değil."
Yeni Syslogk Linux rootkit, arka kapıyı tetiklemek için sihirli paketler kullanıyor
Yeni gizli yörünge kötü amaçlı yazılım, Linux cihazlarından verileri çalıyor
Yeni CloudMensis Kötü Yazılım Backdroors Macs kurbanların verilerini çalmak için
Microsoft Exchange sunucuları dünya çapında yeni kötü amaçlı yazılımlarla geri yüklendi
İranlı bilgisayar korsanları yeni DNS Backdoor ile Enerji Sektörünü Hedef
Kaynak: Bleeping Computer