Lightning Framework, daha önce fark edilmeyen ve kötü amaçlı koduyla Linux sistemlerini hedefleyen yeni bir kötü amaçlı yazılımdır. Etkilenen cihazlar, bu program kullanılarak SSH kullanılarak arka kapıya yerleştirilebilir ve bununla birlikte birden fazla türde rootkit dağıtılabilir.
Lightning Framework, Intezer güvenlik firmasının uzmanları tarafından ‘İsviçre Çakısı’ olarak tanımlanıyor. Modülerliği ve eklentileri desteklemesi nedeniyle ‘İsviçre Çakısı’ olarak tanımlanmıştır.
Ek olarak, bileşenlerinden bazıları henüz bulunamadı veya analiz edilmedi, bu nedenle uzmanların bu kötü amaçlı yazılımı vahşi ortamda ortaya çıkarabilmesi için hala uzun bir yol var.
Teknik Analiz
Lightning Framework, basit bir şekilde inşa edilmesine ek olarak, yazım denetimi ile entegre edilmiştir. Lightning Framework’ün, Seahorse GNOME parola yöneticisi ve şifreleme anahtarı yöneticisi gibi görünerek kurulu sistemlerde algılanmayı önlemek için gizli bir kimlik kullandığını bilmek önemlidir.
Lightning Framework, çekirdek modülünün yapılandırma dosyasından bilgileri aldıktan sonra çekirdek modülünü ve eklentilerini çeker. Bu, C2 sunucusuyla iletişim kurmak için kullanılan, saptanamayan ve polimorfik kodlanmış bir yapılandırma dosyasında saklanır.
Çerçevenin birincil modülü olan çekirdek modül (kkdmflush), kötü amaçlı yazılımın komut ve kontrol sunucusundan komutları almaktan ve kötü amaçlı yazılımın eklentilerini yürütmekten sorumlu olan modüldür.
İndirilen eklentilerden birinden (Linux.Plugin.Lightning.Sshd) başlatılan bir SSH sunucusu kullanarak, kötü amaçlı yazılım kendi SSH tabanlı arka kapısını ekler.
Kullanılan Eklentiler
Aşağıda, kötü amaçlı yazılım tarafından kullanılan tüm eklentilerden bahsettik: –
- Linux.Plugin.Lightning.SsHijacker
- Linux.Plugin.Lightning.Sshd
- Linux.Plugin.Lightning.Nethogs
- Linux.Plugin.Lightning.iftop
- Linux.Plugin.Lightning.iptraf
- Yıldırım.Çekirdek
Kullanılan Komutlar
Aşağıda, açıklamalarıyla birlikte kullanılan tüm komutlardan bahsettik: –
- SystemInfo: Makineye parmak izi verir
- PureShellCommand: Kabuk komutunu çalıştırır
- RunShellPure: Linux.Plugin.Lightning.Sshd (SSH Daemon) eklentisini başlatır
- CloseShellPure: Linux.Plugin.Lightning.Sshd eklentisini sonlandırır
- Bağlantıyı Kes: Çekirdek modülünden çıkar
- GetRemotePathInfo: Verilen yolun özetini toplar
- KeepAlive: Eylem yok, bağlantı canlı kalır
- UploadFileHeader: Dosyanın erişimini kontrol eder
- FileEdit: Dosya ve zaman meta içeriğini alır
- TryPassSSH: root/.ssh/yetkili_keys dosyasına bir ortak anahtar ekler
- DeleteVecFile: Belirtilen dosyayı veya yolu siler
- PreDownloadFile: Dosyanın sağlama toplamını hesaplar
- DownloadFile: C2’ye bir dosya gönderir
- DeleteGuid: Çerçeveyi kaldırır
- UpdateVersion: Çerçeveyi güncellemek için İndirici modülünü çağırır
- UpdateRemoteVersion: İndirici dahil çerçeveyi günceller
- Socks5: Bir Socks5 proxy’si kurar
- RestorePlug: UpdateVersion ile aynı
- GetDomainSetting: Dövülebilir C2 yapılandırma dosyasının (cpc) içeriğini getirir
- SetDomainSetting: Dövülebilir C2 yapılandırma dosyasının (cpc) içeriğini günceller
- InstallKernelHide: İşletim sistemi sürümünü getirir
- RemoveKernelHide: Çekirdek modülünü kaldırır
- UpdateKernelVersion: Çekirdek modülünü kaldırır ve uname -r’yi çalıştırır
- OverrideFile: Belirtilen dosyanın üzerine yazar
- UploadFileContent: Sunucudan dosyaya gönderilen verileri yazar
- LocalPluginRequest: LD_PRELOAD kök setini veya LKM kök setini yazın
Yakın zamanda ortaya çıkan bir kötü amaçlı yazılım türünün parçası olarak Lightning Framework, tanımlanacak en son türlerden biridir. Bu kötü amaçlı yazılım varyantını kullanarak, bir cihazı tamamen tehlikeye atmak ve arka kapıyı açmak mümkündür.
Lightning Framework’ün keşfinin, Linux kötü amaçlı yazılımlarının son yıllarda tehdit aktörleri tarafından giderek daha fazla kullanıldığı gerçeğini açıkça gösterdiğine şüphe yoktur.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.