Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Вредоносное ПО Lightning Framework имеет поддержку плагинов, а также умеет устанавливать бэкдоры и руткиты

22/07/22

Сегодня компания Intezer опубликовала отчет, в котором подробно описала новое вредоносное ПО Lightning Framework, сравнив его со швейцарским армейским ножом. По словам специалистов, Lightning Framework представляет из себя крайне гибкую модульную программу с поддержкой плагинов. Кроме того, фреймворк имеет пассивные и активные возможности для связи с хакером, а также гибкую, полиморфную настройку C&C.

Вредонос использует тайпсквоттинг и маскируется под менеджер паролей и ключей шифрования Seahorse , чтобы избежать обнаружения на зараженных системах.

Установив связь с C&C сервером через TCP-сокеты, Lighting Framework загружает с него зашифрованные полиморфные конфигурационные файлы, которые использует для сборки плагинов и основного модуля kdmflush.

pasted image 0 (18)

Kdmflush является главным модулем фреймворка и используется вредоносной программой для получения команд с C&C-сервера и запуска своих плагинов.

Чтобы оставаться невидимым для систем безопасности, Lighting Framework редактирует временные метки вредоносных артефактов с помощью изменения двоичного файла и скрывает свой идентификатор процесса и любых связанных с ним сетевых портов с помощью одного из нескольких развертываемых руткитов.

Вредонос закрепляется в системе с помощью скрипта elastisearch, который создается в каталоге /etc/rc.d/init.d/. Скрипт выполняется при каждой загрузке системы, запускает модуль-загрузчик и повторно заражает устройство.

И последнее, но не по значению: фреймворк способен установить SSH-бэкдор, запуская на устройстве жертвы SSH-сервер с помощью одного из загруженных плагинов (Linux.Plugin.Lightning.Sshd).

По словам специалистов, вредоносная программа ещё не была использована в дикой природе, поэтому некоторые функции еще только предстоит найти и проанализировать, опираясь на известные строки кода и модули.

Напомним, до этого Intezer обнаружили другой Linux-вредонос под названием Orbit. Он предоставляет хакерам удаленный доступ к Linux-системам по SSH, позволяет красть учетные данные пользователей и регистрировать tty-команды.

Темы:УгрозыплагиныIntezer
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...