Yazılım çerçevesi, bugünlerde neredeyse tüm karmaşık yazılımları geliştirmek için gerekli hale geldi. Örneğin Django Web çerçevesi, web uygulamalarını hızlı bir şekilde oluşturmak ve dağıtmak için gereken tüm kitaplıkları, görüntü dosyalarını ve diğer bileşenleri bir araya getirerek Google, Spotify ve Pinterest gibi şirketlerde temel dayanak noktası haline getirir. Çerçeveler, bir uygulama ekosisteminde paylaşılan günlük kaydı ve kimlik doğrulama gibi ortak işlevleri gerçekleştiren bir platform sağlar.
Geçen hafta, güvenlik firması Intezer’den araştırmacılar, şimdiye kadar belgelenmemiş olan Linux için modüler bir kötü amaçlı yazılım çerçevesi olan Lightning Framework’ü ortaya çıkardı. Lightning Framework, kullanım sonrası kötü amaçlı yazılımdır, yani bir saldırgan hedeflenen bir makineye zaten erişim kazandıktan sonra yüklenir. Kurulduktan sonra, Django’nun web geliştirme için sağladığı Linux uzlaşmalarına aynı verimlilik ve hızın bir kısmını sağlayabilir.
Intezer’de güvenlik araştırmacısı olan Ryan Robinson bir gönderide, “Linux sistemlerini hedeflemek için geliştirilmiş bu kadar karmaşık bir çerçevenin görülmesi nadirdir” dedi. “Lightning, çok sayıda yeteneğe ve birden çok türde rootkit yükleme yeteneğinin yanı sıra eklentileri çalıştırma yeteneğine sahip olduğunu keşfettiğimiz modüler bir çerçevedir.”
Lightning, Lightning.Downloader adlı bir indiriciden ve Lightning.Core adlı bir çekirdek modülden oluşur. Sırasıyla yazılımı indirmek ve komutları almak için belirlenmiş bir komut ve kontrol sunucusuna bağlanırlar. Kullanıcılar daha sonra her türlü başka kötü şeyi yapan en az yedi modülden herhangi birini çalıştırabilir. Yetenekler, virüslü makinede güvenli bir kabuk açma ve polimorfik dövülebilir bir komut dahil olmak üzere tehdit aktörü ile hem pasif hem de aktif iletişimi içerir.
Çerçeve, virüslü bir makinede SSH’nin açılması ve dövülebilir profiller kullanan komuta ve kontrol sunucularına bağlanma desteği dahil olmak üzere tehdit aktörü ile iletişim için hem pasif hem de aktif yeteneklere sahiptir. Kötü amaçlı yazılım çerçeveleri yıllardır var, ancak Linux makinelerinin hacklenmesi için bu kadar kapsamlı destek sağlayan pek yok.
Bir e-postada Robinson, Intezer’in kötü amaçlı yazılımı VirusTotal’da bulduğunu söyledi. O yazdı:
Başvuruyu sunan kuruluşun, küçük motorlu ev aletleri üreten bir Çinli üretim organizasyonuyla ilişkili olduğu görülüyor. Bunu, aynı göndericinin diğer gönderimlerine dayanarak bulduk. Şirketi tanımlamak için kullandığımız sunucunun parmak izini aldım ve gerçekten de Centos kullanıyorlardı (kötü amaçlı yazılımın derlendiği). Ancak bu, hedef oldukları veya kötü amaçlı yazılım bulaştığı sonucuna varmak için hala yeterince sağlam değil. Yayınlandığından beri yeni bir şey öğrenmedik. Bulmayı umduğumuz ideal şey, şifreli dövülebilir C2 konfigürasyon profillerinden biridir. Dönme işlemini gerçekleştirmemiz için bize ağ IOC’lerini verir.
Intezer, çerçevenin bazı kısımlarını elde edebildi, ancak her şeyi değil. Şirket araştırmacılarının analiz edebildikleri dosyalardan diğer modüllerin varlığını çıkarabildiler. Şirket aşağıdaki genel bakışı sağladı:
İsim | Diskteki Ad | Tanım |
Yıldırım.İndirici | kbioset | Çekirdek modülü ve eklentilerini indiren kalıcı modül |
Yıldırım.Çekirdek | kkdmflush | Lightning Framework’ün ana modülü |
Linux.Plugin.Lightning.SsHijacker | pislik | Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı. |
Linux.Plugin.Lightning.Sshd | sshod | Sabit kodlanmış özel ve ana bilgisayar anahtarlarıyla OpenSSH |
Linux.Plugin.Lightning.Nethogs | ağlar | Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı. Muhtemelen Nethogs yazılımı |
Linux.Plugin.Lightning.iftop | iftoop | Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı. Muhtemelen iftop yazılımı |
Linux.Plugin.Lightning.iptraf | iptraof | Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı. Muhtemelen IPTraf yazılımı |
Linux.Plugin.RootkieHide | libsystemd.so.2 | Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı. LD_PRELOAD Kök Seti |
Linux.Plugin.Kernel | elastisearch.ko | Bu modüle bir referans var ama henüz vahşi ortamda örnek bulunamadı. LKM Kök Seti |
Şimdiye kadar Lightning Framework’ün vahşi doğada aktif olarak kullanıldığı bilinen bir örnek yok. Sonra tekrar, mevcut yeteneklerin bolluğu göz önüne alındığında, son teknoloji gizlilik şüphesiz paketin bir parçasıdır.