Daha önce hiç görülmemiş bir Linux kötü amaçlı yazılımı, modüler mimarisi ve rootkit’leri yükleme yeteneği nedeniyle “İsviçre Ordu Bıçağı” olarak adlandırıldı.

Bu önceden tespit edilmemiş Linux tehdidi, Yıldırım Çerçevesi Intezer tarafından geliştirilen çok sayıda özellikle donatılmıştır ve bu da onu Linux sistemlerini hedeflemek için geliştirilmiş en karmaşık çerçevelerden biri yapar.

Intezer araştırmacısı Ryan Robinson, “Çerçeve, virüslü bir makinede SSH’yi açmak ve polimorfik dövülebilir bir komut ve kontrol yapılandırması dahil olmak üzere tehdit aktörü ile iletişim için hem pasif hem de aktif yeteneklere sahiptir.” söz konusu Bugün yayınlanan yeni bir raporda.

Kötü amaçlı yazılımın merkezinde bir indirici (“kbioset”) ve bir çekirdek (“kkdmflush”) modülü bulunur; bunlardan birincisi, daha sonra çekirdek bileşen tarafından çağrılan uzak bir sunucudan en az yedi farklı eklenti almak üzere tasarlanmıştır.

Ayrıca, indirici, çerçevenin ana modülünün kalıcılığını sağlamaktan da sorumludur. Robinson, “İndirici modülünün ana işlevi, diğer bileşenleri getirmek ve çekirdek modülü yürütmektir” dedi.

Çekirdek modül, eklentileri yürütmek için gerekli komutları almak için komuta ve kontrol (C2) sunucusuyla iletişim kurarken, güvenliği ihlal edilmiş makinede kendi varlığını gizlemeye özen gösterir.

Sunucudan alınan dikkate değer komutlardan bazıları, kötü amaçlı yazılımın makinenin parmak izini almasını, kabuk komutlarını çalıştırmasını, dosyaları C2 sunucusuna yüklemesini, dosyaya rastgele veri yazmasını ve hatta kendisini virüslü ana bilgisayardan güncellemesini ve kaldırmasını sağlar.

Ayrıca bir kalıcılık oluşturarak kalıcılığı kurar. başlatma komut dosyası bu, sistem açılışında yürütülür ve indiricinin otomatik olarak başlatılmasına izin verir.

Robinson, “Linux’u hedeflemek için bu kadar büyük bir çerçevenin geliştirildiğini görmek yaygın olmadığından, Lightning Framework ilginç bir kötü amaçlı yazılımdır,” dedi.

Lightning Framework’ün keşfi, onu BPFDoor, Symbiote, Syslogk ve OrBit’ten üç ay sonra ortaya çıkarılan beşinci Linux kötü amaçlı yazılım türü yapar.



siber-2