Lightning Framework: New Undetected “Swiss Army Knife” Linux Malware ⚡

原文地址：62fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2A6L8Y4c8W2P5X3g2J5i4K6u0W2j5$3!0E0i4K6u0r3j5X3I4G2k6#2)9J5c8Y4u0W2M7$3g2S2M7X3y4Z5i4K6u0r3L8r3W2Y4K9s2c8F1K9h3&6Y4i4K6u0V1k6Y4u0S2L8h3g2%4L8%4u0C8i4K6u0V1L8X3g2%4i4K6u0V1L8r3W2F1N6i4S2Q4x3X3c8@1K9s2u0W2j5i4c8Q4x3V1j5`.

翻译：梦幻的彼岸

Lightning框架是一种新的未被发现的类似瑞士军刀的Linux恶意软件，具有模块化插件和安装rootkits的能力。

年复一年，由于攻击者者对该空间的持续兴趣，Linux环境越来越成为恶意软件的目标。针对Linux环境的恶意软件在2021年激增，大量的创新导致了新的恶意代码，特别是在勒索病毒、木马和僵尸网络中。随着云计算使用的增加，难怪恶意软件的创新在这一领域仍在以惊人的速度加速发展。

这是对一个对以前没有记录和没有检测到的Linux威胁的技术分析，这个威胁被称为 "Lightning框架"。很少看到为针对Linux系统而开发的如此复杂的框架。Lightning是我们发现的一个模块化框架，它有大量的能力，并且能够安装多种类型的rootkit，还能运行插件。该框架具有被动和主动与攻击者沟通的能力，包括在受感染的机器上打开SSH，以及多样的易被构造命令和控制配置。我们发布这个博客的目的是为了提供信息。我们没有在框架中引用的所有文件，但希望这个发布可以帮助其他人，如果他们拥有"拼图"的其它部分。我们没有观察到这种恶意软件被用于攻击。

Lightning 框架的技术分析

该框架由一个下载程序和核心模块组成，并有一些插件。恶意软件使用的一些插件是开源的工具。下面是该框架的规划布局图：

模块概述

Lightning.Downloader

Downloader模块的主要功能是获取其他组件并执行核心模块。

Downloader模块开始检查它是否位于工作目录/usr/lib64/seahorses/下，名称为kbioset。该框架大量使用错别字和伪装，以保持不被察觉。对海马的引用掩饰了密码和钥匙管理软件海马。如果不是，它将自己重新定位到该工作目录并执行该副本。Downloader将对主机名和网络适配器进行指纹识别，以生成一个GUID，该GUID将被发送到命令和控制（C2）服务器。

然后，Downloader将联系C2以获取以下模块和插件：

• Linux.Plugin.Lightning.SsHijacker
• Linux.Plugin.Lightning.Sshd
• Linux.Plugin.Lightning.Nethogs
• Linux.Plugin.Lightning.iftop
• Linux.Plugin.Lightning.iptraf
• Lightning.Core

联系C2的方法将在下面的可塑性C2部分描述（点击这里跳到该部分）。然后，Downloader将执行核心模块（kkdmflush）。

Lightning.Core

核心模块是这个框架中的主要模块，它能够接收来自C2的命令并执行插件模块。该模块有很多功能，并使用一些技术来隐藏非常规内容，以保持在被探测的下运行。

核心模块将模块的调用线程的名称修改为kdmflush，以使其看起来是一个内核线程。

接下来，核心模块通过创建一个在系统启动时执行的脚本来设置持久性。这是通过首先创建一个位于/etc/rc.d/init.d/elastisearch的文件来实现。该文件的名称似乎是typosquat elasticsearch。以下内容被写入该文件中：

#!/bin/bash# chkconfig:2345 90 20/usr/lib64/seahorses/kbioset &

这个脚本将在启动时执行Downloader模块。然后使用chkconfig工具添加该服务。

[注意]看雪招聘，专注安全领域的专业人才平台！