بدافزار جدید لینوکس «Lightning Framework» به مهاجمان اجازه می‌دهد Rootkit را روی سیستم‌های هدف نصب کنند

LinkedIn
Facebook
WhatsApp
Telegram
Twitter
Email
Print

بدافزار never-before-seen به دلیل معماری ماژولار و قابلیت نصب روت کیت ها، لقب «چاقوی ارتش سوئیس» (Swiss Army Knife) گرفته است.

این تهدید لینوکس که قبلا شناسایی نشده بود، توسط اینتزر لایتنینگ فریم‌ورک نامیده می‌شود، و به ویژگی‌های فراوانی مجهز است که آن را به یکی از پیچیده‌ترین چارچوب‌های توسعه‌یافته برای هدف قرار دادن سیستم‌های لینوکس تبدیل می‌کند.

رایان رابینسون، محقق Intezer، در گزارش جدیدی که هفته پیش منتشر شده است، گفت: «این فریم‌ورک دارای قابلیت‌های فعال سازی و غیرفعال کردن ارتباط با عامل تهدید، از جمله باز کردن SSH روی یک ماشین آلوده، استفاده از دستور polymorphic malleable و کنترل پیکربندی است».

مرکز اصلی این بدافزار یک دانلود کننده (“kbioset”) و یک ماژول هسته (“kkdmflush”) است که اولی برای بدست آوردن حداقل هفت افزونه مختلف از یک سرور راه دور طراحی شده است که متعاقباً توسط مؤلفه اصلی فراخوانی می شوند.

علاوه بر این، دانلود کننده نیز مسئول حفظ و ماندگاری ماژول اصلی فریمورک است. رابینسون خاطرنشان کرد: “عملکرد اصلی ماژول دانلودر واکشی سایر اجزا و اجرای ماژول اصلی است.”

ماژول اصلی، به نوبه خود، با سرور فرمان و کنترل (C2) تماس برقرار می کند تا دستورات لازم برای اجرای پلاگین ها را دریافت کند، در حالی که مراقب پنهان کردن حضور خود در ماشین در معرض خطر است.

برخی از دستورات جالب توجه دریافتی از سرور، بدافزار را قادر می‌سازد تا دستگاه را انگشت نگاری کند (بررسی fingerprint)، دستورات پوسته را اجرا کند، فایل‌ها را در سرور C2 آپلود کند، داده‌های دلخواه را در فایل بنویسد، و حتی خود را به‌روزرسانی و از میزبان آلوده حذف کند.

با ایجاد یک اسکریپت initialization که پس از بوت شدن سیستم اجرا می شود، سعی می کند، پایداری خود را بیشتر کند و عملاً به دانلود کننده اجازه می دهد تا به طور خودکار راه اندازی شود.

رابینسون خاطرنشان کرد: «فریم ورک لایتنینگ یک بدافزار جالب است زیرا دیدن چنین چارچوب بزرگ برای هدف قرار دادن لینوکس معمول نیست.

کشف لایتنینگ فریم ورک آن را به پنجمین نوع بدافزار لینوکس تبدیل کرد که پس از BPFDoor، Symbiote، Syslogk و OrBit در مدت کوتاه سه ماهه کشف شده است.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *