
La estructura del software se ha vuelto esencial para el desarrollo de casi cualquier software complejo en estos días. El marco web de Django, por ejemplo, agrupa todas las bibliotecas, archivos de imagen y otros componentes necesarios para crear e implementar rápidamente aplicaciones web, lo que lo convierte en un pilar de empresas como Google, Spotify y Pinterest. Los marcos proporcionan una plataforma que realiza funciones comunes, como el registro y la autenticación compartidos en un ecosistema de aplicaciones.
La semana pasada, los investigadores de la firma de seguridad Intezer revelaron Lightning Framework, un marco de malware modular para Linux que no se ha documentado hasta ahora. Lightning Framework es un malware posterior a la explotación, lo que significa que se instala después de que un atacante ya haya obtenido acceso a una máquina objetivo. Una vez instalado, puede proporcionar algunas de las mismas eficiencias y velocidad a los compromisos de Linux que Django proporciona para el desarrollo web.
“Es raro ver un marco tan intrincado desarrollado para apuntar a los sistemas Linux”, escribió en una publicación Ryan Robinson, investigador de seguridad de Intezer. “Lightning es un marco modular que encontramos que tiene una gran cantidad de funciones y la capacidad de instalar múltiples tipos de rootkits, así como la capacidad de ejecutar complementos”.

entero
Lightning consiste en un descargador llamado Lightning.Downloader y un módulo principal llamado Lightning.Core. Se conectan a un servidor de comando y control designado para descargar software y recibir comandos, respectivamente. Luego, los usuarios pueden ejecutar cualquiera de al menos siete módulos que hacen todo tipo de cosas nefastas. Las características incluyen comunicaciones pasivas y activas con el actor de amenazas, incluida la apertura de un caparazón seguro en la máquina infectada y un comando polimórfico maleable.
El marco tiene capacidades pasivas y activas para comunicarse con el actor de amenazas, incluida la apertura de SSH en una máquina infectada y soporte para conectarse a servidores de comando y control utilizando perfiles maleables. Los marcos de malware han existido durante años, pero no hay muchos que brinden un soporte tan completo para piratear máquinas Linux.
En un correo electrónico, Robinson afirmó que Intezer encontró el malware en VirusTotal. El escribio:
La entidad que lo presentó parece estar vinculada a una organización manufacturera china que produce pequeños electrodomésticos. Lo encontramos sobre la base de otros correos del mismo remitente. Detecté la huella digital del servidor que usamos para identificar a la empresa y en realidad estaban usando Centos (para el cual se compiló el malware). Pero eso aún no es lo suficientemente sólido como para concluir que ellos eran los objetivos o estaban infectados con el malware. No hemos aprendido nada nuevo de la publicación. Lo ideal que esperamos encontrar es uno de los perfiles de configuración C2 maleables cifrados. Nos daría a los CIO de la red para pivotar.
Intezer logró obtener partes del marco pero no todas. A partir de los archivos que los investigadores de la empresa pudieron analizar, pudieron deducir la presencia de otros módulos. La empresa proporcionó el siguiente resumen:
Nombre de pila | nombre en disco | Descripción |
Lightning.Downloader | kbioset | El módulo persistente que descarga el módulo principal y sus complementos. |
Relámpago Núcleo | kkdmflush | El módulo principal de Lightning Framework |
Linux.Plugin.Lightning.SsHijacker | susurro | Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie. |
Linux.Complemento.Lightning.Sshd | calzado | OpenSSH con claves privadas y hosts cifrados |
Linux.Complemento.Lightning.Nethogs | nethoogs | Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie. Presumiblemente el software de Nethogs |
Linux.Complemento.Lightning.iftop | si es demasiado | Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie. Presumiblemente el software iftop |
Linux.Complemento.Lightning.iptraf | iptraof | Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie. Presumiblemente el software IPTraf |
Linux.Plugin.RootkieHide | libsystemd.so.2 | Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie. Rootkit LD_PRELOAD |
Linux.Complemento.Kernel | elastisearch.ko | Hay una referencia a este formulario, pero aún no se ha encontrado ningún espécimen en especie. Rootkit LKM |
Hasta el momento, no hay instancias conocidas de Lightning Framework que se utilicen activamente en la naturaleza. Además, dada la abundancia de funciones disponibles, el sigilo de última generación es, sin duda, parte del paquete.