Нещодавно відкрита платформа Lightning Framework пропонує безліч можливостей злому Linux
Нещодавно відкрита платформа Lightning Framework пропонує безліч можливостей злому Linux
Збільшити
Getty Images
Фреймворк програмного забезпечення сьогодні став важливим для розробки майже всього складного програмного забезпечення. Наприклад, платформа Django Web об’єднує всі бібліотеки, файли зображень та інші компоненти, необхідні для швидкого створення та розгортання веб-додатків, що робить її основою для таких компаній, як Google, Spotify і Pinterest. Frameworks надають платформу, яка виконує такі загальні функції, як спільне ведення журналів і автентифікація в екосистемі програми.
Минулого тижня дослідники з фірми безпеки Intezer розкрили Lightning Framework, модульну структуру зловмисного програмного забезпечення для Linux, яка раніше не була задокументована. Lightning Framework — це зловмисне програмне забезпечення після експлойту, тобто воно встановлюється після того, як зловмисник уже отримав доступ до цільової машини. Після встановлення він може забезпечувати таку саму ефективність і швидкість компромісу з Linux, яку Django забезпечує для веб-розробки.
«Рідко можна побачити таку складну структуру, розроблену для систем Linux», — написав у статті Раян Робінсон, дослідник безпеки в Intezer. «Lightning — це модульна структура, яку ми виявили, яка має безліч функцій і можливість інсталювати різні типи руткітів, а також здатність запускати плагіни».
Збільшити
Взаємодіяти
Lightning складається із завантажувача під назвою Lightning.Downloader і основного модуля під назвою Lightning.Core. Вони підключаються до призначеного командного та контрольного сервера для завантаження програмного забезпечення та отримання команд відповідно. Потім користувачі можуть запустити один із принаймні семи модулів, які роблять усілякі інші мерзенні речі. Функції включають пасивний і активний зв’язок із загрозливим суб’єктом, зокрема відкриття захищеної оболонки на зараженій машині та поліморфну податливу команду.
Фреймворк має як пасивні, так і активні можливості для зв’язку зі зловмисником, включаючи відкриття SSH на інфікованій машині та підтримку підключення до команди й керування, які використовують гнучкі профілі. Фреймворки зловмисного програмного забезпечення існують уже багато років, але мало хто пропонує таку комплексну підтримку для злому комп’ютерів Linux.
У електронному листі Робінсон повідомив, що Intezer знайшов зловмисне програмне забезпечення на VirusTotal. Він написав:
Організація, яка подає його, здається пов’язаною з китайською виробничою організацією, яка виробляє невеликі моторизовані прилади. Ми знайшли це на основі інших матеріалів того самого автора. Я взяв відбитки пальців на сервері, який ми використовували для ідентифікації компанії, і вони справді використовували Centos (для якого було зібрано зловмисне програмне забезпечення). Але це все одно недостатньо, щоб зробити висновок, що вони були цілями або заражені шкідливим програмним забезпеченням. З моменту публікації ми не дізналися нічого нового. Ідеальна річ, яку ми сподіваємося знайти, це один із зашифрованих профілів конфігурації C2. Це дасть нам мережеві IOC для виконання повороту.
Intezer вдалося отримати частину фреймворку, але не все. З файлів, які дослідники компанії змогли проаналізувати, вони змогли зробити висновок про наявність інших модулів. Компанія надала такий огляд:
Назва
ім'я на диску
Опис
Lightning.Downloader
kbioset
Фреймворк програмного забезпечення сьогодні став важливим для розробки майже всього складного програмного забезпечення. Наприклад, платформа Django Web об’єднує всі бібліотеки, файли зображень та інші компоненти, необхідні для швидкого створення та розгортання веб-додатків, що робить її основою для таких компаній, як Google, Spotify і Pinterest. Frameworks надають платформу, яка виконує такі загальні функції, як спільне ведення журналів і автентифікація в екосистемі програми.
Минулого тижня дослідники з фірми безпеки Intezer розкрили Lightning Framework, модульну структуру зловмисного програмного забезпечення для Linux, яка раніше не була задокументована. Lightning Framework — це зловмисне програмне забезпечення після експлойту, тобто воно встановлюється після того, як зловмисник уже отримав доступ до цільової машини. Після встановлення він може забезпечувати таку саму ефективність і швидкість компромісу з Linux, яку Django забезпечує для веб-розробки.
«Рідко можна побачити таку складну структуру, розроблену для систем Linux», — написав у статті Раян Робінсон, дослідник безпеки в Intezer. «Lightning — це модульна структура, яку ми виявили, яка має безліч функцій і можливість інсталювати різні типи руткітів, а також здатність запускати плагіни».
Збільшити
Взаємодіяти
Lightning складається із завантажувача під назвою Lightning.Downloader і основного модуля під назвою Lightning.Core. Вони підключаються до призначеного командного та контрольного сервера для завантаження програмного забезпечення та отримання команд відповідно. Потім користувачі можуть запустити один із принаймні семи модулів, які роблять усілякі інші мерзенні речі. Функції включають пасивний і активний зв’язок із загрозливим суб’єктом, зокрема відкриття захищеної оболонки на зараженій машині та поліморфну податливу команду.
Фреймворк має як пасивні, так і активні можливості для зв’язку зі зловмисником, включаючи відкриття SSH на інфікованій машині та підтримку підключення до команди й керування, які використовують гнучкі профілі. Фреймворки зловмисного програмного забезпечення існують уже багато років, але мало хто пропонує таку комплексну підтримку для злому комп’ютерів Linux.
У електронному листі Робінсон повідомив, що Intezer знайшов зловмисне програмне забезпечення на VirusTotal. Він написав:
Організація, яка подає його, здається пов’язаною з китайською виробничою організацією, яка виробляє невеликі моторизовані прилади. Ми знайшли це на основі інших матеріалів того самого автора. Я взяв відбитки пальців на сервері, який ми використовували для ідентифікації компанії, і вони справді використовували Centos (для якого було зібрано зловмисне програмне забезпечення). Але це все одно недостатньо, щоб зробити висновок, що вони були цілями або заражені шкідливим програмним забезпеченням. З моменту публікації ми не дізналися нічого нового. Ідеальна річ, яку ми сподіваємося знайти, це один із зашифрованих профілів конфігурації C2. Це дасть нам мережеві IOC для виконання повороту.
Intezer вдалося отримати частину фреймворку, але не все. З файлів, які дослідники компанії змогли проаналізувати, вони змогли зробити висновок про наявність інших модулів. Компанія надала такий огляд:
Назва
ім'я на диску
Опис
Lightning.Downloader
kbioset
Збільшити
Getty Images
Збільшити
Взаємодіяти
