新的Linux恶意软件框架允许攻击者在目标系统上安装Rootkit

一个前所未有的Linux恶意软件因其模块化架构和安装rootkit的能力而被称为“瑞士军刀”。

这个以前未检测到的Linux威胁称为Lightning框架由Intezer开发，配备了大量功能，使其成为针对Linux系统开发的最复杂的框架之一。

Intezer研究人员Ryan Robinson在今天发布的一份新报告中说：“该框架具有与威胁行为体通信的被动和主动能力，包括在受感染的机器上打开SSH，以及多态的可塑性命令和控制配置”。

恶意软件的中心是一个下载程序（“kbioset”）和一个核心（“kkdmlush”）模块，前者设计用于从远程服务器检索至少七个不同的插件，这些插件随后由核心组件调用。

此外，下载程序还负责建立框架主模块的持久性。罗宾逊指出：“下载程序模块的主要功能是获取其他组件并执行核心模块”。

核心模块则与指挥与控制（C2）服务器建立联系，以获取执行插件所需的必要命令，同时注意隐藏其自身在受损机器中的存在。

从服务器接收到的一些显著命令使恶意软件能够对机器进行指纹识别、运行shell命令、将文件上载到C2服务器、将任意数据写入文件，甚至更新并从受感染的主机中删除自身。

它通过创建在系统引导时执行的初始化脚本来进一步设置持久性，有效地允许自动启动下载程序。

Robinson指出：“Lightning框架是一个有趣的恶意软件，因为为Linux开发这么大的框架并不常见”。

Lightning Framework的发现使其成为继BPFDoor、Symbiote、Syslogk和OrBit之后在短短三个月内发现的第五种Linux恶意软件。