Portada » Home » Lightning Framework: Un nuevo malware de Linux

Lightning Framework: Un nuevo malware de Linux

Se detectó un malware previamente desconocido, Lightning Framework, dirigido a sistemas Linux. El marco se puede usar para dispositivos de puerta trasera que usan SSH y entregar diferentes tipos de rootkits.

Según Intezer, Lightning Framework es un malware modular que viene con capacidades pasivas y activas para comunicarse con el atacante.

El malware abre SSH en una máquina infectada y admite la configuración de comando y control maleable polimórfica. En la actualidad, los componentes a los que se hace referencia en el código fuente aún no se han descubierto.

El marco utiliza typosquatting y se disfraza como la contraseña de Seahorse GNOME y el administrador de claves de cifrado para evitar ser detectado en los sistemas infectados.

Arquitectura de malware

  • Lightning Framework consta de dos módulos principales Lightning[.]Downloader y Lightning[.]Core.
  • Lightening.Core es el módulo principal del marco, que recibe comandos (C2) y ejecuta sus complementos.
  • Lightning[.]Downloader es un componente de descarga para descargar e instalar otros módulos y complementos.

En cuanto a los complementos descargados, el marco admite múltiples complementos, incluidos Linux.Plugin.RootkieHide, Linux.Plugin.Kernel y Linux.Plugin.Lightning.iptraf, entre otros.

El módulo Lightening.Core (kkdmflush) utiliza una serie de técnicas para enmascarar los artefactos para que no se detecten durante más tiempo y lograr la persistencia.

Los métodos para ocultar incluyen la manipulación de las marcas de tiempo de los artefactos maliciosos con el paso del tiempo y la ocultación de su ID de proceso (PID) y los puertos de red relacionados mediante uno de los rootkits implementados.

Para persistencia, crea un script llamado elastisearch en la ubicación /etc/rc[.]d/init[.]d/ que se ejecuta cada vez que el sistema arranca para ejecutar el módulo de descarga y volver a infectar el dispositivo.