El nuevo marco Lightning de malware para Linux instala puertas traseras y rootkits

Linux malware Lightning Framework

Los analistas de Intezer consideran que el nuevo malware Lightning Framework para Linux es real «Cuchillo suizo» por su arquitectura modular, así como la posibilidad de instalar rootkits y puertas traseras.

Déjame recordarte que también hablamos de Nuevo Alerta roja Ransomware dirigido a servidores VMware ESXi de Windows y Linux, y también eso Expertos en seguridad de la información hablaron sobre el malware de Linux simbionte Eso es casi indetectable.

El marco tiene capacidades tanto pasivas como activas para comunicarse con el atacante., incluida la apertura de SSH en la máquina infectada, así como configuración polimórfica y flexible para C&C.entero especialista ryan robinson dice.

Parece que el malware aún no se ha utilizado en ataques reales., pero los investigadores lograron estudiar algunos de sus componentes., y dicen que el resto «Todavía hay que encontrarla y analizarla.»

Se sabe que el Marco relámpago tiene una estructura bastante simple: el componente principal del cargador (kbioset), que descarga e instala otros módulos y complementos de malware en dispositivos comprometidos, incluyendo el módulo principal (kkdmflush).

Marco Lightning de malware para Linux

La tarea principal del módulo principal es establecer comunicación con el administrador y recibir los comandos necesarios para ejecutar varios complementos., así como para ocultar la presencia en la máquina comprometida. Por ejemplo, el malware utiliza typequatting para disfrazarse y se disfraza como el Caballo de mar administrador de contraseñas y claves.

Otros métodos de encubrimiento incluyen cambiar las marcas de tiempo de los artefactos maliciosos usando pisotear el tiempo, y ocultar el PID y cualquier puerto de red asociado utilizando uno de varios rootkits que Lightning Framework puede implementar. El malware puede afianzarse en el sistema mediante la creación de un script llamado elastibúsqueda en /etc/rc.d/init.d/, que se ejecutará en cada inicio del sistema y ejecutará el módulo del gestor de arranque nuevamente para volver a infectar el dispositivo.

Además, Lightning Framework agrega su propia puerta trasera basada en SSH al sistema infectado: inicia un servidor SSH usando uno de los complementos descargados (Linux.Plugin.Lightning.Sshd). Como resultado, esto permitirá a los atacantes conectarse a máquinas infectadas a través de SSH utilizando sus propias claves SSH.

Lightning Framework es una pieza de malware interesante porque es raro ver una plataforma tan masiva creada para Linux.. Si bien no tenemos todos los archivos, Podemos concluir sobre algunas de las características que faltan según las líneas y el código de los módulos que tenemos.»Robinson resume.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *