Cuma, Haziran 21, 2024
Ana SayfaTeknoloji HaberleriYeni bulunan Lightning Framework, çok sayıda Linux hackleme yeteneği sunar

Yeni bulunan Lightning Framework, çok sayıda Linux hackleme yeteneği sunar

Birler ve sıfırlardan yapılmış stilize bir kafatası ve kemikler.

Yazılım çerçevesi, bugünlerde neredeyse tüm karmaşık yazılımları geliştirmek için gerekli hale geldi. Örneğin Django Web çerçevesi, web uygulamalarını hızlı bir şekilde oluşturmak ve dağıtmak için gereken tüm kitaplıkları, görüntü dosyalarını ve diğer bileşenleri bir araya getirerek Google, Spotify ve Pinterest gibi şirketlerde temel dayanak noktası haline getirir. Çerçeveler, bir uygulama ekosisteminde paylaşılan günlük kaydı ve kimlik doğrulama gibi ortak işlevleri gerçekleştiren bir platform sağlar.

Geçen hafta, güvenlik firması Intezer’den araştırmacılar, şimdiye kadar belgelenmemiş olan Linux için modüler bir kötü amaçlı yazılım çerçevesi olan Lightning Framework’ü ortaya çıkardı. Lightning Framework, kullanım sonrası kötü amaçlı yazılımdır, yani bir saldırgan hedeflenen bir makineye zaten erişim kazandıktan sonra yüklenir. Kurulduktan sonra, Django’nun web geliştirme için sağladığı Linux uzlaşmalarına aynı verimlilik ve hızın bir kısmını sağlayabilir.

Intezer’de güvenlik araştırmacısı olan Ryan Robinson bir gönderide, “Linux sistemlerini hedeflemek için geliştirilmiş bu kadar karmaşık bir çerçevenin görülmesi nadirdir” dedi. “Lightning, çok sayıda yeteneğe ve birden çok türde rootkit yükleme yeteneğinin yanı sıra eklentileri çalıştırma yeteneğine sahip olduğunu keşfettiğimiz modüler bir çerçevedir.”

Intezer

Lightning, Lightning.Downloader adlı bir indiriciden ve Lightning.Core adlı bir çekirdek modülden oluşur. Sırasıyla yazılımı indirmek ve komutları almak için belirlenmiş bir komut ve kontrol sunucusuna bağlanırlar. Kullanıcılar daha sonra her türlü başka kötü şeyi yapan en az yedi modülden herhangi birini çalıştırabilir. Yetenekler, virüslü makinede güvenli bir kabuk açma ve polimorfik dövülebilir bir komut dahil olmak üzere tehdit aktörü ile hem pasif hem de aktif iletişimi içerir.

Çerçeve, virüslü bir makinede SSH’nin açılması ve dövülebilir profiller kullanan komuta ve kontrol sunucularına bağlanma desteği dahil olmak üzere tehdit aktörü ile iletişim için hem pasif hem de aktif yeteneklere sahiptir. Kötü amaçlı yazılım çerçeveleri yıllardır var, ancak Linux makinelerinin hacklenmesi için bu kadar kapsamlı destek sağlayan pek yok.

Bir e-postada Robinson, Intezer’in kötü amaçlı yazılımı VirusTotal’da bulduğunu söyledi. O yazdı:

Başvuruyu sunan kuruluşun, küçük motorlu ev aletleri üreten bir Çinli üretim organizasyonuyla ilişkili olduğu görülüyor. Bunu, aynı göndericinin diğer gönderimlerine dayanarak bulduk. Şirketi tanımlamak için kullandığımız sunucunun parmak izini aldım ve gerçekten de Centos kullanıyorlardı (kötü amaçlı yazılımın derlendiği). Ancak bu, hedef oldukları veya kötü amaçlı yazılım bulaştığı sonucuna varmak için hala yeterince sağlam değil. Yayınlandığından beri yeni bir şey öğrenmedik. Bulmayı umduğumuz ideal şey, şifreli dövülebilir C2 konfigürasyon profillerinden biridir. Dönme işlemini gerçekleştirmemiz için bize ağ IOC’lerini verir.

Intezer, çerçevenin bazı kısımlarını elde edebildi, ancak her şeyi değil. Şirket araştırmacılarının analiz edebildikleri dosyalardan diğer modüllerin varlığını çıkarabildiler. Şirket aşağıdaki genel bakışı sağladı:

İsim Diskteki Ad Tanım
Yıldırım.İndirici kbioset Çekirdek modülü ve eklentilerini indiren kalıcı modül
Yıldırım.Çekirdek kkdmflush Lightning Framework’ün ana modülü
Linux.Plugin.Lightning.SsHijacker pislik Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı.
Linux.Plugin.Lightning.Sshd sshod Sabit kodlanmış özel ve ana bilgisayar anahtarlarıyla OpenSSH
Linux.Plugin.Lightning.Nethogs ağlar Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı. Muhtemelen Nethogs yazılımı
Linux.Plugin.Lightning.iftop iftoop Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı. Muhtemelen iftop yazılımı
Linux.Plugin.Lightning.iptraf iptraof Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı. Muhtemelen IPTraf yazılımı
Linux.Plugin.RootkieHide libsystemd.so.2 Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı. LD_PRELOAD Kök Seti
Linux.Plugin.Kernel elastisearch.ko Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı. LKM Kök Seti

Şimdiye kadar Lightning Framework’ün vahşi doğada aktif olarak kullanıldığı bilinen bir örnek yok. Sonra tekrar, mevcut yeteneklerin bolluğu göz önüne alındığında, son teknoloji gizlilik şüphesiz paketin bir parçasıdır.

RELATED ARTICLES

Popüler Konular