新的 Linux 惡意軟件框架允許攻擊者在目標系統上安裝 Rootkit

一種前所未見的 Linux 惡意軟件因其模塊化架構和安裝 rootkit 的能力而被稱為 “瑞士軍刀”。

這種以前未被發現的 Linux 威脅，被 Intezer 稱為 Lightning 框架，配備了大量功能，使其成為針對 Linux 系統開發的最復雜的框架之一。

Intezer 研究員 Ryan Robinson 在今天發布的一份新報告中說：“該框架具有與威脅參與者通信的被動和主動功能，包括在受感染機器上打開 SSH，以及多態可塑性命令和控制配置。”

惡意軟件的核心是一個下載器（“kbioset”）和一個核心（“kkdmflush”）模塊，前者被設計為從遠程服務器檢索至少七個不同的插件，這些插件隨后被核心組件調用。

此外，下載器還負責建立框架主模塊的持久化。“下載器模塊的主要功能是獲取其他組件并執行核心模塊，”Robinson 指出。

就其核心模塊而言，它與命令和控制 (C2) 服務器建立聯系，以獲取執行插件所需的必要命令，同時還注意隱藏自己在受感染機器中的存在。

從服務器接收到的一些值得注意的命令使惡意軟件能夠對機器進行指紋識別、運行 shell 命令、將文件上傳到 C2 服務器、將任意數據寫入文件，甚至從受感染的主機中更新和刪除自身。

它通過創建在系統啟動時執行的初始化腳本來進一步設置持久性，從而有效地允許下載器自動啟動。

“Lightning Framework 是一種有趣的惡意軟件，因為針對 Linux 開發的如此龐大的框架并不常見，”Robinson 指出。

Lightning Framework 的發現使其成為繼 BPFDoor、Symbiote、Syslogk 和 OrBit 之后在短短三個月內發現的第五種 Linux 惡意軟件。