Escrito por: Fabian Caballero – Cyber Intelligence Engineer
Se descubrió un nuevo malware denominado Lightning Framework el cual tiene como objetivo los sistemas Linux, este cuenta con una estructura compleja permitiéndole la instalación de rootkits en el sistema afectado.
La empresa de seguridad Intezer realizo la detección de este nuevo malware el cual comparo con una navaja suiza debido a sus diversas capacidades de adaptabilidad y ejecución, según los investigadores “es poco común ver una estructura tan robusta generada para atacar los sistemas de Linux”. El malware está constituido por 2 mecanismos principales el primero un módulo de descarga (kbioset) cuya función es buscar y descargar los complementos necesarios para una posterior ejecución desde un servidor remoto, realizar la ejecución del segundo módulo y de manera paralela establecer la persistencia de este, mientras que el módulo principal (kkdmflush) se encarga de establecer comunicación con el servidor de comando y control, esto con el fin de recibir los comandos que le permiten ejecutar los complementos previamente descargados por el módulo de descarga, cabe resaltar que mientras se mantiene la comunicación con el servidor de comando y control el módulo principal oculta su presencia dentro de la maquina comprometida para evitar ser detectado haciéndose pasar por el administrador de contraseñas y claves de cifrado de Seahorse GNOME. Otro método utilizado para ocultar su presencia es el encubrimiento de su ID de proceso (PID) y cualquier puerto de red relacionado, esto mediante el uso de uno de los rootkits que maneja el malware.Una vez se dio a conocer la falla detectada sobre VMware se publicó una prueba de concepto mediante la cual se explotaba la vulnerabilidad, con dicha información los atacantes realizaron intentos masivos de explotación sobre la infraestructura vulnerable, teniendo en cuenta lo indicado por la propia entidad (VMware).
Otro de los factores que lo hacen una amenaza muy bien estructurada es la manera en la que establece persistencia ya que realiza la creación de un script denominado elastisearch en la ruta /etc/rc.d/init.d/ que se ejecuta en cada arranque del sistema para iniciar el módulo de descarga y volver a infectar el dispositivo. Por último, dicho malware también cuenta con una backdoor la cual se encuentra basada en SSH, esta tiene la capacidad de iniciar un servidor SSH utilizando uno de los complementos descargados (Linux.Plugin.Lightning.Sshd). El demonio OpenSSH cuenta con claves privadas y de host codificadas, lo que permite a los atacantes acceder a las máquinas infectadas mediante SSH utilizando sus propias claves SSH.
El informe concluye indicando lo llamativo que es encontrar un malware tan estructurado y polimórfico cuyo objetivo es adentrarse en los sistemas Linux y que pese a que no se cuenta con todos los archivos asociados a la amenaza es posible inferir algunas de las funciones que faltan con base en las cadenas y el código de los módulos que han sido detectados. Hasta la fecha no se ha hecho pública información asociada a como mitigar la amenaza. Aunque, como sugerencia se recomienda mantener los servidores que manejen dicho sistema operativo con las ultimas actualizaciones publicadas. Llama la atención el hecho de que en los últimos 3 meses se han identificado al menos 5 nuevas amenazas asociadas a Linux siendo las 4 anteriores BPFDoor, Symbiote, Syslogk y OrBit, por lo que se hace necesario enfocar todo el esfuerzo en herramienta de detección y mitigación que protejan los servidores que utilizan este sistema operativo.
FUENTES
- https://securityaffairs.co/wordpress/133506/malware/lightning-framework-linux-malware.html
- https://blog.segu-info.com.ar/2022/07/otro-malware-y-rootkit-para-linux.html
- https://blog.underc0de.org/el-nuevo-malware-de-linux-lightning-framework-instala-rootkits-y-puertas-traseras/
- https://thehackernews.com/2022/07/new-linux-malware-framework-let.html
