Novo Linux Malware Framework permite que invasores instalem rootkits em sistemas direcionados
Um malware Linux nunca antes visto foi apelidado de “Canivete do Exército Suíço” por sua arquitetura modular e sua capacidade de instalar rootkits.
Essa ameaça Linux não detectada anteriormente, chamada Lightning Framework da Intezer, está equipada com uma infinidade de recursos, tornando-a uma das estruturas mais complexas desenvolvidas para direcionar sistemas Linux.
“A estrutura tem recursos passivos e ativos para comunicação com o agente da ameaça, incluindo a abertura de SSH em uma máquina infectada e uma configuração de comando e controle maleável polimórfica”, informou Ryan Robinson, pesquisador da Intezer em um novo relatório publicado hoje.
Central para o malware é um downloader (“kbioset”) e um módulo principal (“kkdmflush”), o primeiro dos quais é projetado para recuperar pelo menos sete plugins diferentes de um servidor remoto que são posteriormente invocados pelo componente principal.
Além disso, o downloader também é responsável por estabelecer a persistência do módulo principal do framework. “A principal função do módulo de download é buscar os outros componentes e executar o módulo principal”, observou Robinson.
O módulo núcleo, por sua vez, estabelece contato com o servidor de comando e controle (C2) para buscar os comandos necessários para executar os plugins, ao mesmo tempo em que cuida de ocultar sua própria presença na máquina comprometida.
Alguns dos comandos notáveis recebidos do servidor permitem que o malware imprima a máquina, execute comandos shell, carregue arquivos no servidor C2, grave dados arbitrários no arquivo e até mesmo atualize e remova-se do host infectado.
Ele ainda configura a persistência criando um script de inicialização que é executado na inicialização do sistema, permitindo efetivamente que o downloader seja iniciado automaticamente.
“O Lightning Framework é um malware interessante, pois não é comum ver um framework tão grande desenvolvido para o Linux”, apontou Robinson.
A descoberta do Lightning Framework faz dele a quinta variedade de malware Linux a ser descoberta em um curto período de três meses após BPFDoor , Symbiote , Syslogk e OrBit .
Este artigo é uma tradução de: https://thehackernews.com/2022/07/new-linux-malware-framework-let.html (Autor: )
