{"id":6086,"date":"2022-08-12T16:38:41","date_gmt":"2022-08-12T21:38:41","guid":{"rendered":"https:\/\/etek.com\/es\/?p=6086"},"modified":"2022-08-12T16:38:41","modified_gmt":"2022-08-12T21:38:41","slug":"lightning-framework-nuevo-malware-de-linux","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/lightning-framework-nuevo-malware-de-linux\/","title":{"rendered":"Lightning Framework nuevo malware de Linux"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"6086\" class=\"elementor elementor-6086\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-781fab8c elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"781fab8c\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-7fdb8aaa\" data-id=\"7fdb8aaa\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-581ac7db elementor-widget elementor-widget-text-editor\" data-id=\"581ac7db\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<!-- wp:paragraph -->\n<p>Escrito por: <strong>Fabian Caballero<\/strong> &#8211; Cyber Intelligence Engineer<\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:paragraph -->\n<p><\/p>\n<!-- \/wp:paragraph -->\n\n<!-- wp:paragraph -->\n<p><\/p>\n<!-- \/wp:paragraph -->\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-de78e0f elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"de78e0f\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-1233bec\" data-id=\"1233bec\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-7a325f6 elementor-widget elementor-widget-heading\" data-id=\"7a325f6\" data-element_type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px}<\/style><h6 class=\"elementor-heading-title elementor-size-default\">Se descubri\u00f3 un nuevo malware denominado Lightning Framework el cual tiene como objetivo los sistemas Linux, este cuenta con una estructura compleja permiti\u00e9ndole la instalaci\u00f3n de rootkits en el sistema afectado.<\/h6>\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-91bad7b elementor-widget elementor-widget-text-editor\" data-id=\"91bad7b\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>La empresa de seguridad Intezer realizo la detecci\u00f3n de este nuevo malware el cual comparo con una navaja suiza debido a sus diversas capacidades de adaptabilidad y ejecuci\u00f3n, seg\u00fan los investigadores \u201ces poco com\u00fan ver una estructura tan robusta generada para atacar los sistemas de Linux\u201d. El malware est\u00e1 constituido por 2 mecanismos principales el primero un m\u00f3dulo de descarga (kbioset) cuya funci\u00f3n es buscar y descargar los complementos necesarios para una posterior ejecuci\u00f3n desde un servidor remoto, realizar la ejecuci\u00f3n del segundo m\u00f3dulo y de manera paralela establecer la persistencia de este, mientras que el m\u00f3dulo principal (kkdmflush) se encarga de establecer comunicaci\u00f3n con el servidor de comando y control, esto con el fin de recibir los comandos que le permiten ejecutar los complementos previamente descargados por el m\u00f3dulo de descarga, cabe resaltar que mientras se mantiene la comunicaci\u00f3n con el servidor de comando y control el m\u00f3dulo principal oculta su presencia dentro de la maquina comprometida para evitar ser detectado haci\u00e9ndose pasar por el administrador de contrase\u00f1as y claves de cifrado de Seahorse GNOME. Otro m\u00e9todo utilizado para ocultar su presencia es el encubrimiento de su ID de proceso (PID) y cualquier puerto de red relacionado, esto mediante el uso de uno de los rootkits que maneja el malware.Una vez se dio a conocer la falla detectada sobre VMware se public\u00f3 una prueba de concepto mediante la cual se explotaba la vulnerabilidad, con dicha informaci\u00f3n los atacantes realizaron intentos masivos de explotaci\u00f3n sobre la infraestructura vulnerable, teniendo en cuenta lo indicado por la propia entidad (VMware).<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-dbec3f7 elementor-widget elementor-widget-image\" data-id=\"dbec3f7\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/08\/flujo-de-ataque.jpg\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-d8f6ca6 elementor-widget elementor-widget-text-editor\" data-id=\"d8f6ca6\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Otro de los factores que lo hacen una amenaza muy bien estructurada es la manera en la que establece persistencia ya que realiza la creaci\u00f3n de un script denominado elastisearch en la ruta \/etc\/rc.d\/init.d\/ que se ejecuta en cada arranque del sistema para iniciar el m\u00f3dulo de descarga y volver a infectar el dispositivo. Por \u00faltimo, dicho malware tambi\u00e9n cuenta con una backdoor la cual se encuentra basada en SSH, esta tiene la capacidad de iniciar un servidor SSH utilizando uno de los complementos descargados (Linux.Plugin.Lightning.Sshd). El demonio OpenSSH cuenta con claves privadas y de host codificadas, lo que permite a los atacantes acceder a las m\u00e1quinas infectadas mediante SSH utilizando sus propias claves SSH.<\/p>\n<p>El informe concluye indicando lo llamativo que es encontrar un malware tan estructurado y polim\u00f3rfico cuyo objetivo es adentrarse en los sistemas Linux y que pese a que no se cuenta con todos los archivos asociados a la amenaza es posible inferir algunas de las funciones que faltan con base en las cadenas y el c\u00f3digo de los m\u00f3dulos que han sido detectados. Hasta la fecha no se ha hecho p\u00fablica informaci\u00f3n asociada a como mitigar la amenaza. Aunque, como sugerencia se recomienda mantener los servidores que manejen dicho sistema operativo con las ultimas actualizaciones publicadas. Llama la atenci\u00f3n el hecho de que en los \u00faltimos 3 meses se han identificado al menos 5 nuevas amenazas asociadas a Linux siendo las 4 anteriores BPFDoor, Symbiote, Syslogk y OrBit, por lo que se hace necesario enfocar todo el esfuerzo en herramienta de detecci\u00f3n y mitigaci\u00f3n que protejan los servidores que utilizan este sistema operativo.<\/p>\n<p><strong>FUENTES<\/strong><\/p>\n<ul>\n<li><a href=\"https:\/\/securityaffairs.co\/wordpress\/133506\/malware\/lightning-framework-linux-malware.html\">https:\/\/securityaffairs.co\/wordpress\/133506\/malware\/lightning-framework-linux-malware.html<\/a><\/li>\n<li><a href=\"https:\/\/blog.segu-info.com.ar\/2022\/07\/otro-malware-y-rootkit-para-linux.html\">https:\/\/blog.segu-info.com.ar\/2022\/07\/otro-malware-y-rootkit-para-linux.html<\/a><\/li>\n<li><a href=\"https:\/\/blog.underc0de.org\/el-nuevo-malware-de-linux-lightning-framework-instala-rootkits-y-puertas-traseras\/\">https:\/\/blog.underc0de.org\/el-nuevo-malware-de-linux-lightning-framework-instala-rootkits-y-puertas-traseras\/<\/a><\/li>\n<li><a href=\"https:\/\/thehackernews.com\/2022\/07\/new-linux-malware-framework-let.html\">https:\/\/thehackernews.com\/2022\/07\/new-linux-malware-framework-let.html<\/a><\/li>\n<\/ul>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-e010d64 elementor-widget elementor-widget-image\" data-id=\"e010d64\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/05\/Imagen2.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-f8ef34b elementor-widget elementor-widget-text-editor\" data-id=\"f8ef34b\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p><a href=\"mailto:Info@etek.com\">Info@etek.com<\/a><\/p>\n<p>\u00a0<\/p>\n<p><strong>Colombia\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0Per\u00fa\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0<\/strong><span style=\"font-weight: 600; letter-spacing: 0px;\">India<\/span><strong style=\"letter-spacing: 0px;\">\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0\u00a0<\/strong><\/p>\n<p>+57 (1) 2571520\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 +51\u00a0(1) 6124343\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0<span style=\"letter-spacing: 0px;\">+91-9873451221<\/span><\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\n<p>\u00a0<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Escrito por: Fabian Caballero &#8211; Cyber Intelligence Engineer Se descubri\u00f3 un nuevo malware denominado Lightning Framework el cual tiene como objetivo los sistemas Linux, este cuenta con una estructura compleja permiti\u00e9ndole la instalaci\u00f3n de rootkits en el sistema afectado. La empresa de seguridad Intezer realizo la detecci\u00f3n de este nuevo malware el cual comparo con [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":6087,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/6086"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=6086"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/6086\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=6086"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=6086"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=6086"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}