-
06/07/2013
-
796
-
1.304 bài viết
Linux Malware Framework mới cho phép kẻ tấn công cài đặt rootkit trên hệ thống mục tiêu
Một loại mã độc chưa từng thấy trên Linux được mệnh danh là "Swiss Army Knife" vì kiến trúc mô-đun với khả năng cài đặt các rootkit đã được phát hiện gần đây.
Mã độc này được Intezer gọi là Lightning Framework bởi vì được trang bị rất nhiều tính năng, khiến nó trở thành một trong những framework phức tạp nhất được phát triển để nhắm mục tiêu vào các hệ thống Linux.
Nhà nghiên cứu Ryan Robinson của Intezer cho biết trong một báo cáo mới được công bố: “Framework có cả khả năng thụ động và chủ động để giao tiếp với những kẻ tấn công, bao gồm mở SSH trên một máy bị nhiễm và cấu hình malleable C2 (command and control) đa hình.
Trung tâm của mã độc là downloader ("kbioset") và mô-đun core ("kkdmflush"), được thiết kế để truy xuất ít nhất bảy plugin khác nhau từ một máy chủ từ xa sau đó thành phần cốt lõi được gọi ra.
“Chức năng chính của mô-đun downloader là tìm nạp các thành phần khác và thực thi mô-đun chính,” Robinson lưu ý.
Mô-đun core chịu trách nhiệm thiết lập liên lạc với máy chủ C2 (command and control) để tìm nạp các lệnh cần thiết để thực thi các phần bổ sung, đồng thời che giấu sự hiện diện của chính nó trong máy bị xâm phạm.
Một số lệnh nhận được từ máy chủ cho phép mã độc lấy fingerprint của máy, chạy lệnh shell, tải tập tin lên máy chủ C2, ghi dữ liệu tùy ý vào tệp, thậm chí cập nhật và xóa chính nó khỏi máy chủ bị nhiễm.
Để duy trì sự hiện diện chúng tạo một script được thực thi khi khởi động hệ thống, cho phép tự động khởi chạy downloader một cách hiệu quả.
Việc phát hiện ra Lightning Framework khiến nó trở thành dòng mã độc Linux thứ năm được phát hiện trong khoảng thời gian ngắn chỉ trong ba tháng sau BPFDoor, Symbiote, Syslogk và OrBit.
Mã độc này được Intezer gọi là Lightning Framework bởi vì được trang bị rất nhiều tính năng, khiến nó trở thành một trong những framework phức tạp nhất được phát triển để nhắm mục tiêu vào các hệ thống Linux.
Nhà nghiên cứu Ryan Robinson của Intezer cho biết trong một báo cáo mới được công bố: “Framework có cả khả năng thụ động và chủ động để giao tiếp với những kẻ tấn công, bao gồm mở SSH trên một máy bị nhiễm và cấu hình malleable C2 (command and control) đa hình.
Trung tâm của mã độc là downloader ("kbioset") và mô-đun core ("kkdmflush"), được thiết kế để truy xuất ít nhất bảy plugin khác nhau từ một máy chủ từ xa sau đó thành phần cốt lõi được gọi ra.
“Chức năng chính của mô-đun downloader là tìm nạp các thành phần khác và thực thi mô-đun chính,” Robinson lưu ý.
Một số lệnh nhận được từ máy chủ cho phép mã độc lấy fingerprint của máy, chạy lệnh shell, tải tập tin lên máy chủ C2, ghi dữ liệu tùy ý vào tệp, thậm chí cập nhật và xóa chính nó khỏi máy chủ bị nhiễm.
Để duy trì sự hiện diện chúng tạo một script được thực thi khi khởi động hệ thống, cho phép tự động khởi chạy downloader một cách hiệu quả.
Việc phát hiện ra Lightning Framework khiến nó trở thành dòng mã độc Linux thứ năm được phát hiện trong khoảng thời gian ngắn chỉ trong ba tháng sau BPFDoor, Symbiote, Syslogk và OrBit.
Nguồn: Thehackernews
Chỉnh sửa lần cuối bởi người điều hành: