El recién descubierto Lightning Framework ofrece una gran cantidad de capacidades de piratería de Linux
El marco de software se ha vuelto indispensable para el desarrollo de casi todo el software complejo en la actualidad. Por ejemplo, el marco web Django agrupa todas las bibliotecas, archivos de imagen y otros componentes necesarios para crear e implementar rápidamente aplicaciones web, lo que lo convierte en un pilar para empresas como Google, Spotify y Pinterest. Los marcos proporcionan una plataforma que realiza funciones comunes como el registro y la autenticación que se comparten en un ecosistema de aplicaciones. La semana pasada, los investigadores de la firma de seguridad Intezer dieron a conocer Lightning Framework, un marco modular de malware para Linux previamente no documentado. Lightning Framework es un malware posterior a la explotación, lo que significa que se instala después de que un atacante ya haya obtenido acceso a una computadora objetivo. Una vez instalado, puede ofrecer algunas de las mismas eficiencias y velocidades para compromisos de Linux que ofrece Django para el desarrollo web. «Es raro que se haya desarrollado un marco tan complicado para los sistemas Linux», escribió Ryan Robinson, investigador de seguridad de Intezer, en una publicación. «Lightning es un marco modular que descubrimos que tiene una gran cantidad de funciones y la capacidad de instalar varios tipos de rootkits, así como ejecutar complementos».
Intezer Lightning consta de un descargador llamado Lightning.Downloader y un módulo central llamado Lightning.Core. Se conectan a un servidor de comando y control designado para descargar software o recibir comandos. Luego, los usuarios pueden ejecutar cualquiera de al menos siete módulos que hacen todo tipo de cosas nefastas. Sus capacidades incluyen comunicación pasiva y activa con el atacante, incluida la apertura de un caparazón seguro en la computadora infectada y un comando maleable polimórfico. El marco tiene capacidades pasivas y activas para comunicarse con el atacante, incluida la apertura de SSH en una computadora infectada y soporte para conectarse a servidores de comando y control usando perfiles flexibles. Los marcos de malware han existido durante años, pero no hay muchos que ofrezcan un soporte tan amplio para piratear máquinas Linux. En un correo electrónico, Robinson dijo que Intezer encontró el malware en VirusTotal. El escribio:
La empresa que lo envió parece estar afiliada a una empresa de fabricación china que fabrica pequeños equipos eléctricos. Hemos visto esto en otras presentaciones del mismo remitente. Tomé las huellas dactilares del servidor que usamos para identificar a la empresa y en realidad usaron Centos (para el cual se compiló el malware). Sin embargo, esto aún no es lo suficientemente sólido como para concluir que ellos eran los objetivos o estaban infectados con el malware. No hemos aprendido nada nuevo desde la publicación. El ideal que esperamos encontrar es uno de los perfiles de configuración maleable C2 codificados. Nos daría IOC de red para pivotar.
Intezer pudo obtener partes del marco, pero no todas. A partir de los archivos que los investigadores de la empresa pudieron analizar, pudieron inferir la presencia de otros módulos. La empresa dio el siguiente resumen:
Apellido | nombre en disco | descripción |
Lightning.Downloader | kbioset | El módulo persistente que descarga el módulo principal y sus complementos |
Rayo.Núcleo | kkdmflush | El módulo principal de Lightning Framework |
Linux.Plugin.Lightning.SsHijacker | susurro | Hay una referencia a este módulo, pero aún no se ha encontrado ningún espécimen en la naturaleza. |
Linux.Complemento.Lightning.Sshd | calzado | OpenSSH con claves privadas y de host codificadas |
Linux.Complemento.Lightning.Nethogs | Nethoogs | Hay una referencia a este módulo, pero aún no se ha encontrado ningún espécimen en la naturaleza. Probablemente el software Nethogs |
Linux.Complemento.Lightning.iftop | si es así | Hay una referencia a este módulo, pero aún no se ha encontrado ningún espécimen en la naturaleza. Probablemente el software iftop |
Linux.Complemento.Lightning.iptraf | iptraof | Hay una referencia a este módulo, pero aún no se ha encontrado ningún espécimen en la naturaleza. Probablemente el software IPTraf |
Linux.Plugin.RootkieHide | libsystemd.so.2 | Hay una referencia a este módulo, pero aún no se ha encontrado ningún espécimen en la naturaleza. rootkit LD_PRELOAD |
Linux.Complemento.Kernel | elasticsearch.ko | Hay una referencia a este módulo, pero aún no se ha encontrado ningún espécimen en la naturaleza. rootkit LKM |
Hasta el momento, no se conocen instancias de Lightning Framework que se utilicen activamente en la naturaleza. Dada la gran cantidad de funciones disponibles, el camuflaje de vanguardia es, sin duda, parte del paquete.