Daha önce hiç görülmemiş bir Linux kötü amaçlı yazılımı, modüler mimarisi ve rootkit’leri yükleme yeteneği nedeniyle “İsviçre Ordu Bıçağı” olarak adlandırıldı.
Bu önceden tespit edilmemiş Linux tehdidi, Yıldırım Çerçevesi Intezer tarafından geliştirilen çok sayıda özellikle donatılmıştır ve bu da onu Linux sistemlerini hedeflemek için geliştirilmiş en karmaşık çerçevelerden biri yapar.
Intezer araştırmacısı Ryan Robinson, bugün yayınlanan yeni bir raporda, “Çerçevenin, virüslü bir makinede SSH’yi açma ve polimorfik dövülebilir bir komut ve kontrol yapılandırması da dahil olmak üzere tehdit aktörü ile iletişim için hem pasif hem de aktif yetenekleri var.” Dedi.
Kötü amaçlı yazılımın merkezinde bir indirici (“kbioset”) ve bir çekirdek (“kkdmflush”) modülü bulunur; bunlardan birincisi, daha sonra çekirdek bileşen tarafından çağrılan uzak bir sunucudan en az yedi farklı eklenti almak üzere tasarlanmıştır.
Ayrıca, indirici, çerçevenin ana modülünün kalıcılığını sağlamaktan da sorumludur. Robinson, “İndirici modülünün ana işlevi, diğer bileşenleri getirmek ve çekirdek modülü yürütmektir” dedi.
Çekirdek modül, eklentileri yürütmek için gerekli komutları almak için komuta ve kontrol (C2) sunucusuyla iletişim kurarken, güvenliği ihlal edilmiş makinede kendi varlığını gizlemeye özen gösterir.
Sunucudan alınan dikkate değer komutlardan bazıları, kötü amaçlı yazılımın makinenin parmak izini almasını, kabuk komutlarını çalıştırmasını, dosyaları C2 sunucusuna yüklemesini, dosyaya rastgele veri yazmasını ve hatta kendisini virüslü ana bilgisayardan güncellemesini ve kaldırmasını sağlar.
Ayrıca, sistem açılışında yürütülen bir başlatma komut dosyası oluşturarak kalıcılığı kurar ve indiricinin otomatik olarak başlatılmasını sağlar.
Robinson, “Linux’u hedeflemek için bu kadar büyük bir çerçevenin geliştirildiğini görmek yaygın olmadığından, Lightning Framework ilginç bir kötü amaçlı yazılımdır,” dedi.
Lightning Framework’ün keşfi, onu BPFDoor, Symbiote, Syslogk ve OrBit’ten üç ay sonra ortaya çıkarılan beşinci Linux kötü amaçlı yazılım türü yapar.