Lightning Framework，一種以前未被檢測到的針對 Linux 系統的惡意軟件

研究人員發現了一種以前未被發現的惡意軟件，稱為“Lightning Framework”，它以 Linux 系統為目標。

Intezer 的研究人員發現了一種以前未被檢測到的惡意軟件，被跟蹤為Lightning Framework，它以 Linux 系統為目標。惡意代碼具有模塊化結構，并且能夠安裝 rootkit。

“ Lightning Framework 是一種新的未被檢測到的類似瑞士軍刀的 Linux 惡意軟件，它具有模塊化插件和安裝 rootkit 的能力。”閱讀專家發表的報告。“很少看到針對 Linux 系統開發的如此復雜的框架。”

Lightning 框架可以安裝多種類型的 rootkit 并運行不同的插件。該框架能夠在受感染的機器上打開 SSH。

該框架由下載器和核心模塊組成，它可以使用許多插件來擴展其功能，其中一些是開源工具。

下載器的主要功能是獲取其他組件并執行核心模塊。核心模塊旨在接收來自 Commend 和 Control 的命令并執行插件。

該惡意軟件尚未在野外被發現，其某些組件（在源代碼中引用）尚未被發現和分析。

該惡意軟件使用仿冒域名來逃避檢測，例如，下載程序偽裝成 Seahorse  GNOME 密碼和加密密鑰管理器來逃避檢測。

當數據采用 JSON 結構時，Core 和 Downloader 模塊都通過 TCP 套接字與 C2 通信。

“C2 存儲在一個多態編碼的配置文件中，對于每個創建都是唯一的。這意味著將無法通過哈希等技術檢測到配置文件。密鑰內置在編碼文件的開頭。” 讀取分析。

 如果操作員執行 RunShellPure命令，該框架還可以使用被動通信模式。這會使用Linux.Plugin.Lightning.Sshd 插件在受感染機器上啟動 SSH 服務，該 插件是一個具有硬編碼私鑰和主機密鑰的 OpenSSH 守護程序。操作員可以使用自己的 SSH 密鑰打開 SSH 進入受感染的機器。 

專家們注意到，該惡意軟件還通過使用時間戳修改惡意工件的時間戳來隱藏其 存在。這些文件的最后修改時間已被編輯以匹配 whoami、find 或 su。該框架還使用它可以部署的 rootkit 之一隱藏其進程 ID (PID) 和任何相關的網絡端口。

核心模塊通過在 /etc/rc.d/init.d/ 下創建一個名為elastisearch的腳本來實現持久性，該腳本在系統 啟動時執行。名字好像是typosquat  elasticsearch。

“Lightning 框架是一種有趣的惡意軟件，因為針對 Linux 開發的如此龐大的框架并不常見。雖然我們沒有所有文件，但我們可以根據我們擁有的模塊的字符串和代碼推斷出一些缺失的功能。” 報告結束。

作者： 皮爾路易吉·帕格尼尼