‘Lightning Framework’ adlı yeni ve daha önce tespit edilmemiş bir kötü amaçlı yazılım, Linux sistemlerini hedefler ve SSH kullanarak virüslü cihazları arka kapıya taşımak ve birden çok türde rootkit dağıtmak için kullanılabilir.
Intezer tarafından bugün yayınlanan bir raporda “İsviçre Çakısı” olarak tanımlanan, Yıldırım Çerçevesi eklenti desteği ile birlikte gelen modüler bir kötü amaçlı yazılımdır.
Intezer güvenlik araştırmacısı Ryan Robinson, “Çerçeve, virüslü bir makinede SSH’yi açmak ve polimorfik dövülebilir bir komut ve kontrol yapılandırması dahil olmak üzere tehdit aktörü ile iletişim için hem pasif hem de aktif yeteneklere sahiptir.” Dedi.
Bu kötü amaçlı yazılım henüz vahşi doğada tespit edilmedi ve bileşenlerinden bazıları (kaynak kodunda atıfta bulunuldu) henüz bulunup analiz edilmedi.
Lightning Framework basit bir yapı kullanılarak oluşturulmuştur: kötü amaçlı yazılımın diğer modüllerini ve eklentilerini, çekirdek modülü de dahil olmak üzere, güvenliği ihlal edilmiş Linux cihazlarına indirecek ve kuracak bir indirme bileşeni.
Kötü amaçlı yazılım, yazım hatası kullanır ve virüslü sistemlerde algılanmayı önlemek için Seahorse GNOME parolası ve şifreleme anahtarı yöneticisi gibi görünür.
Algılanamayan polimorfik kodlanmış yapılandırma dosyalarında depolanan C2 bilgilerini kullanarak TCP soketleri üzerinden komut ve kontrol (C2) sunucusuna ulaştıktan sonra Lightning Framework, eklentilerini ve çekirdek modülünü getirir.
Bu çekirdek modül (kkdmflush) çerçevenin ana modülüdür ve kötü amaçlı yazılımın C2 sunucusundan komut almak ve eklentilerini yürütmek için kullandığı modüldür.
Robinson, “Modülün birçok yeteneği var ve eserleri radar altında çalışmaya devam etmek için gizlemek için bir dizi teknik kullanıyor,” diye ekledi.
Varlığını gizlemenin diğer yöntemleri arasında, zaman ayarı kullanarak kötü niyetli yapıların zaman damgalarını değiştirmek ve dağıtabileceği birkaç kök setinden birini kullanarak İşlem Kimliğini (PID) ve ilgili ağ bağlantı noktalarını gizlemek yer alır.
Adlı bir komut dosyası oluşturarak kalıcılığı da sağlayabilir. elastisearch /etc/rc.d/init.d/ altında, indirici modülünü başlatmak ve cihaza yeniden bulaşmak için her sistem önyüklemesinde yürütülür.
Son olarak, bu kötü amaçlı yazılım, indirilen eklentilerden birini (Linux.Plugin.Lightning.Sshd) kullanarak bir SSH sunucusu başlatarak kendi SSH tabanlı arka kapısını da ekleyecektir.
Yeni başlatılan OpenSSH arka plan programı, sabit kodlanmış özel ve ana bilgisayar anahtarlarına sahiptir ve saldırganların kendi SSH anahtarlarını kullanarak virüslü makinelere SSH göndermesine olanak tanır.
Robinson, “Linux’u hedeflemek için geliştirilen bu kadar büyük bir çerçevenin görülmesi yaygın olmadığından, Lightning Framework ilginç bir kötü amaçlı yazılımdır” dedi.
“Tüm dosyalara sahip olmasak da, sahip olduğumuz modüllerin dizelerine ve kodlarına dayanarak bazı eksik işlevleri çıkarabiliriz.”
Linux kötü amaçlı yazılım dalgalanmasının belirtileri?
Lightning Framework, son zamanlarda ortaya çıkan cihazlardan tamamen ödün verme ve arka kapı açma yeteneğine sahip en yeni Linux kötü amaçlı yazılım türüdür.
Intezer güvenlik araştırmacıları ayrıca, arka kapılı Linux sistemlerinden bilgi çalmak ve çalışan tüm süreçlere bulaşmak için işlev çağrılarını engellemek için paylaşılan kitaplıkları ele geçiren gizli bir kötü amaçlı yazılım olan OrBit’i de tespit etti.
BlackBerry ve Intezer araştırmacıları tarafından ortaklaşa analiz edilen Linux cihazlarını hedef alan başka bir kötü amaçlı yazılım olan Symbiote, sistem çapında bir parazit gibi davranır ve hiçbir enfeksiyon belirtisi bırakmaz ve aynı taktiği, kendisini çalışan işlemlere yüklemek için kullanır.
Araştırmacılar ayrıca, BPFDoor adlı gizli bir arka kapının, uzaktan erişim için güvenlik duvarlarını atlayarak beş yılı aşkın bir süredir Linux ve Solaris sistemlerini gizlice hedef aldığını tespit ettiler.
Avast araştırmacıları tarafından geçen ay açıklanan Syslogk adlı bir rootkit olan dördüncü bir Linux kötü amaçlı yazılım türü, modüllerini Linux çekirdeğine, arka kapıdan etkilenen makinelere yükleme ve algılamadan kaçınmak için ağ trafiğini ve yapay nesneleri gizleme yeteneğine sahiptir.
Robinson, “Linux ortamlarını hedefleyen kötü amaçlı yazılımlar, 2021’de özellikle fidye yazılımlarında, truva atlarında ve botnet’lerde yeni kötü amaçlı kodlarla sonuçlanan büyük miktarda yenilikle arttı.” Dedi.
“Bulut kullanımının artmasıyla birlikte, bu alanda kötü amaçlı yazılım inovasyonunun hala baş döndürücü bir hızla hızlanması şaşırtıcı değil.”