Yeni Algılanmamış Swiss Army Knife Linux Kötü Amaçlı Yazılımı Rootkit'leri, Arka Kapıları Yüklüyor
Lightning Framework, daha önce tespit edilmemiş ve kötü amaçlı koduyla Linux sistemlerini hedef alan yeni bir kötü amaçlı yazılımdır. Virüslü cihazlar, bu program kullanılarak SSH kullanılarak arka kapıdan geçirilebilir ve bununla birlikte birden fazla rootkit türü dağıtılabilir.
Lightning Framework, Intezer güvenlik firmasının uzmanları tarafından 'Swiss Army Knife' olarak tanımlanmaktadır. Modülerliği ve eklentilere verdiği destek nedeniyle, 'Swiss Army Knife' olarak tanımlanmıştır.
Ek olarak, bazı bileşenleri henüz bulunmadı veya analiz edilmedi, bu nedenle uzmanların bu kötü amaçlı yazılımı vahşi doğada ortaya çıkarabilmesi için hala uzun bir yol var.
Teknik Analiz
Basit bir şekilde inşa edilmesine ek olarak, Lightning Framework yazım hatası ile entegre edilmiştir. Lightning Framework'ün Seahorse GNOME şifre yöneticisi ve şifreleme anahtarı yöneticisi olarak maskelenerek kurulu sistemlerde algılanmaktan kaçınmak için gizlenmiş bir kimlik kullandığını bilmek önemlidir.
Lightning Framework, çekirdek modülünün yapılandırma dosyasından bilgileri aldıktan sonra çekirdek modülünü ve eklentilerini çeker. Bu, C2 sunucusuyla iletişim kurmak için kullanılan, algılanamayan ve polimorfik kodlanmış bir yapılandırma dosyasında depolanır.
Çerçevenin birincil modülü olarak, çekirdek modül (kkdmflush), kötü amaçlı yazılımın komut ve kontrol sunucusundan komut almaktan sorumlu olan modüldür ve aynı zamanda kötü amaçlı yazılımın eklentilerini yürütmekten sorumludur.
İndirilen eklentilerden birinden (Linux.Plugin.Lightning.Sshd) başlatılan bir SSH sunucusu kullanarak, kötü amaçlı yazılım kendi SSH tabanlı arka kapısını ekler.
Kullanılan Eklentiler
Aşağıda kötü amaçlı yazılım tarafından kullanılan tüm eklentilerden bahsettik:
- Linux.Plugin.Lightning.SsHijacker
- Linux.Plugin.Lightning.Sshd
- Linux.Plugin.Lightning.Nethogs
- Linux.Plugin.Lightning.iftop
- Linux.Plugin.Lightning.iptraf
- Lightning.Core
Kullanılan Komutlar
- SystemInfo: Makinenin parmak izini alır
- PureShellCommand: Shell komutunu çalıştırır
- RunShellPure: Linux.Plugin.Lightning.Sshd (SSH Daemon) eklentisini başlatır
- CloseShellPure: Linux.Plugin.Lightning.Sshd eklentisini sonlandırır
- Bağlantıyı kes: Core modülünden çıkar
- GetRemotePathInfo: Verilen yolun özetini toplar
- KeepAlive: Eylem yok, bağlantı canlı kalıyor
- UploadFileHeader: Dosyaya erişimi denetler
- FileEdit: Dosya ve zaman metasının içeriğini alır
- TryPassSSH: kök/.ssh/authorized_keys dosyasına bir ortak anahtar ekler
- DeleteVecFile: Belirtilen dosyayı veya yolu siler
- PreDownloadFile: Dosyanın sağlama toplamını hesaplar
- DownloadFile: C2'ye bir dosya gönderir
- DeleteGuid: Çerçeveyi kaldırır
- UpdateVersion: Çerçeveyi güncellemek için Downloader modülünü çağırır
- UpdateRemoteVersion: İndirici de dahil olmak üzere çerçeveyi günceller
- Socks5: Bir Socks5 proxy'si kurar
- RestorePlug: UpdateVersion ile aynı
- GetDomainSetting: Şekillendirilebilir C2 yapılandırma dosyasının (cpc) içeriğini getirir
- SetDomainSetting: İçeriği güncelleştirir
Ortaya çıkan yeni bir kötü amaçlı yazılım türünün bir parçası olarak, Lightning Framework tanımlanacak en son suşlardan biridir. Bu kötü amaçlı yazılım varyantını kullanarak, bir cihazı tamamen tehlikeye atmak ve arka kapıdan geçirmek mümkündür.
Hiç şüphe yok ki, Lightning Framework'ün keşfi, Linux kötü amaçlı yazılımlarının son yıllarda tehdit aktörleri tarafından giderek daha fazla kullanıldığı gerçeğini açıkça göstermektedir.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News
