{"id":270107,"date":"2022-07-21T13:03:26","date_gmt":"2022-07-21T15:03:26","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-nouveau-framework-linux-malware-permet-aux-attaquants-dinstaller-le-rootkit-sur-les-systemes-cibles\/"},"modified":"2022-07-21T13:03:27","modified_gmt":"2022-07-21T15:03:27","slug":"le-nouveau-framework-linux-malware-permet-aux-attaquants-dinstaller-le-rootkit-sur-les-systemes-cibles","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-nouveau-framework-linux-malware-permet-aux-attaquants-dinstaller-le-rootkit-sur-les-systemes-cibles\/","title":{"rendered":"Le nouveau framework Linux Malware permet aux attaquants d&#8217;installer le rootkit sur les syst\u00e8mes cibl\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un malware Linux in\u00e9dit a \u00e9t\u00e9 qualifi\u00e9 de &#8220;couteau suisse&#8221; pour son architecture modulaire et sa capacit\u00e9 \u00e0 installer des rootkits.<\/p>\n<p>Cette menace Linux non d\u00e9tect\u00e9e auparavant, appel\u00e9e <strong>Cadre Lightning<\/strong> par Intezer, est \u00e9quip\u00e9 d&#8217;une pl\u00e9thore de fonctionnalit\u00e9s, ce qui en fait l&#8217;un des frameworks les plus complexes d\u00e9velopp\u00e9s pour cibler les syst\u00e8mes Linux.<\/p>\n<p>&#8220;Le cadre a des capacit\u00e9s \u00e0 la fois passives et actives pour la communication avec l&#8217;acteur de la menace, y compris l&#8217;ouverture de SSH sur une machine infect\u00e9e, et une configuration de commande et de contr\u00f4le mall\u00e9able polymorphe&#8221;, a d\u00e9clar\u00e9 Ryan Robinson, chercheur chez Intezer. <a rel=\"nofollow noopener\" href=\"https:\/\/www.intezer.com\/blog\/research\/lightning-framework-new-linux-threat\/\" target=\"_blank\">a dit<\/a> dans un nouveau rapport publi\u00e9 aujourd&#8217;hui.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Au c\u0153ur du logiciel malveillant se trouvent un t\u00e9l\u00e9chargeur (&#8220;kbioset&#8221;) et un module central (&#8220;kkdmflush&#8221;), dont le premier est con\u00e7u pour r\u00e9cup\u00e9rer au moins sept plugins diff\u00e9rents \u00e0 partir d&#8217;un serveur distant qui sont ensuite invoqu\u00e9s par le composant central.<\/p>\n<p>De plus, le t\u00e9l\u00e9chargeur est \u00e9galement charg\u00e9 d&#8217;\u00e9tablir la persistance du module principal du framework.  &#8220;La fonction principale du module de t\u00e9l\u00e9chargement est de r\u00e9cup\u00e9rer les autres composants et d&#8217;ex\u00e9cuter le module principal&#8221;, a not\u00e9 Robinson.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"350\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhz_QQuq7wLTW7wFde3PA6yPIBaHzgczuGIXYZzn00c39dGdaDES9uPJ4CppYEuI2J8BRwG-LPzyecvs3BQMYwmTjPpniAa2C3Pd65E7QKlKw1YiYbAJlL1qIWLPCivDI7jkEAml3jzCXJ3nTEqY4lNSzOAq_FRG7KLaarGak_1UCMLP7u958xybU5q\/s728-e100\/malware.jpg\" \/><\/div>\n<p>Le module principal, pour sa part, \u00e9tablit un contact avec le serveur de commande et de contr\u00f4le (C2) pour r\u00e9cup\u00e9rer les commandes n\u00e9cessaires \u00e0 l&#8217;ex\u00e9cution des plugins, tout en prenant soin de cacher sa propre pr\u00e9sence dans la machine compromise.<\/p>\n<p>Certaines des commandes notables re\u00e7ues du serveur permettent au logiciel malveillant d&#8217;identifier la machine, d&#8217;ex\u00e9cuter des commandes shell, de t\u00e9l\u00e9charger des fichiers sur le serveur C2, d&#8217;\u00e9crire des donn\u00e9es arbitraires dans un fichier, et m\u00eame de se mettre \u00e0 jour et de se supprimer de l&#8217;h\u00f4te infect\u00e9.<\/p>\n<p>Il \u00e9tablit en outre la persistance en cr\u00e9ant un <a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1037\/\" target=\"_blank\">script d&#8217;initialisation<\/a> qui est ex\u00e9cut\u00e9 au d\u00e9marrage du syst\u00e8me, permettant ainsi au t\u00e9l\u00e9chargeur d&#8217;\u00eatre lanc\u00e9 automatiquement.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Le Lightning Framework est un malware int\u00e9ressant car il n&#8217;est pas courant de voir un si grand framework d\u00e9velopp\u00e9 pour cibler Linux&#8221;, a soulign\u00e9 Robinson.<\/p>\n<p>La d\u00e9couverte de Lightning Framework en fait la cinqui\u00e8me souche de logiciels malveillants Linux \u00e0 \u00eatre d\u00e9couverte en une courte p\u00e9riode de trois mois apr\u00e8s BPFDoor, Symbiote, Syslogk et OrBit.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/new-linux-malware-framework-let.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un malware Linux in\u00e9dit a \u00e9t\u00e9 qualifi\u00e9 de &#8220;couteau suisse&#8221; pour son architecture modulaire et sa capacit\u00e9 \u00e0 installer des rootkits. Cette menace Linux non d\u00e9tect\u00e9e auparavant, appel\u00e9e Cadre Lightning par Intezer, est \u00e9quip\u00e9 d&#8217;une pl\u00e9thore de fonctionnalit\u00e9s, ce qui en fait l&#8217;un des frameworks les plus complexes d\u00e9velopp\u00e9s pour cibler les syst\u00e8mes Linux. &#8220;Le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":270108,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[11865,507,9589,4168,4158,4165,4161,92010,39961,4157,4159,4171,4170,65,18088,4167,4174,4160,680,4163,4162,9701,30795,4172,4169,60,5046,4166,4164],"class_list":["post-270107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaquants","tag-aux","tag-cibles","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dinstaller","tag-framework","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-malware","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-permet","tag-rootkit","tag-securite-informatique","tag-securite-internet","tag-sur","tag-systemes","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/270107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=270107"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/270107\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/270108"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=270107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=270107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=270107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}