Le framework logiciel est devenu indispensable pour le développement de presque tous les logiciels complexes de nos jours. Par exemple, le framework Web Django regroupe toutes les bibliothèques, fichiers image et autres composants nécessaires pour créer et déployer rapidement des applications Web, ce qui en fait un pilier pour des entreprises comme Google, Spotify et Pinterest. Les frameworks fournissent une plate-forme qui exécute des fonctions communes telles que la journalisation et l’authentification qui sont partagées dans un écosystème d’applications.
La semaine dernière, des chercheurs de la société de sécurité Intezer ont dévoilé le Lightning Framework, un framework de logiciels malveillants modulaires jusque-là non documenté pour Linux. Lightning Framework est un logiciel malveillant post-exploit, ce qui signifie qu’il est installé après qu’un attaquant a déjà accédé à un ordinateur ciblé. Une fois installé, il peut offrir certaines des mêmes efficacités et vitesses pour les compromis Linux que Django offre pour le développement Web.
« Il est rare qu’un cadre aussi compliqué ait été développé pour les systèmes Linux », a écrit Ryan Robinson, chercheur en sécurité chez Intezer, dans un article. « Lightning est un framework modulaire que nous avons découvert, qui possède une multitude de fonctionnalités et la possibilité d’installer plusieurs types de rootkits ainsi que d’exécuter des plugins. »
intezer
Lightning se compose d’un téléchargeur appelé Lightning.Downloader et d’un module principal appelé Lightning.Core. Ils se connectent à un serveur de commande et de contrôle désigné pour télécharger des logiciels ou recevoir des commandes. Les utilisateurs peuvent ensuite exécuter l’un des sept modules au moins qui font toutes sortes d’autres choses néfastes. Ses capacités incluent à la fois la communication passive et active avec l’attaquant, y compris l’ouverture d’un shell sécurisé sur l’ordinateur infecté et une commande malléable polymorphe.
Le cadre a des capacités à la fois passives et actives pour communiquer avec l’attaquant, y compris l’ouverture de SSH sur un ordinateur infecté, et prend en charge la connexion à des serveurs de commande et de contrôle à l’aide de profils flexibles. Les frameworks de logiciels malveillants existent depuis des années, mais il n’y en a pas beaucoup qui offrent un support aussi étendu pour le piratage des machines Linux.
Dans un e-mail, Robinson a déclaré qu’Intezer avait trouvé le malware sur VirusTotal. Il a écrit:
L’entreprise qui l’a soumise semble être affiliée à une entreprise de fabrication chinoise qui fabrique de petits équipements électriques. Nous avons vu cela dans d’autres soumissions du même auteur. J’ai pris les empreintes digitales du serveur que nous avons utilisé pour identifier l’entreprise et ils ont en fait utilisé Centos (pour lequel le logiciel malveillant a été compilé). Cependant, ce n’est toujours pas assez solide pour conclure qu’ils étaient les cibles ou qu’ils ont été infectés par le malware. Nous n’avons rien appris de nouveau depuis la publication. L’idéal que nous espérons trouver est l’un des profils de configuration malléables C2 brouillés. Cela nous donnerait des CIO de réseau pour pivoter.
Intezer a pu se procurer des parties du framework, mais pas toutes. A partir des fichiers que les chercheurs de l’entreprise ont pu analyser, ils ont pu déduire la présence d’autres modules. L’entreprise a donné l’aperçu suivant :
| Nom de famille | nom sur disque | la description |
| Lightning.Downloader | kbioset | Le module persistant qui télécharge le module principal et ses plugins |
| Foudre.Core | kkdmflush | Le module principal du Lightning Framework |
| Linux.Plugin.Lightning.SsHijacker | Autrement | Il y a une référence à ce module mais aucun spécimen n’a encore été trouvé dans la nature. |
| Linux.Plugin.Lightning.Sshd | chaussé | OpenSSH avec clés privées et hôtes codées en dur |
| Linux.Plugin.Lightning.Nethogs | Réseaux | Il y a une référence à ce module mais aucun spécimen n’a encore été trouvé dans la nature. Probablement le logiciel Nethogs |
| Linux.Plugin.Lightning.iftop | iftoop | Il y a une référence à ce module mais aucun spécimen n’a encore été trouvé dans la nature. Probablement le logiciel iftop |
| Linux.Plugin.Lightning.iptraf | iptraof | Il y a une référence à ce module mais aucun spécimen n’a encore été trouvé dans la nature. Probablement le logiciel IPTraf |
| Linux.Plugin.RootkieHide | libsystemd.so.2 | Il y a une référence à ce module mais aucun spécimen n’a encore été trouvé dans la nature. Rootkit LD_PRELOAD |
| Linux.Plugin.Kernel | elasticsearch.ko | Il y a une référence à ce module mais aucun spécimen n’a encore été trouvé dans la nature. Rootkit LKM |
Jusqu’à présent, aucune instance de Lightning Framework n’est connue pour être activement utilisée dans la nature. Compte tenu de la richesse des fonctionnalités disponibles, le camouflage de pointe fait sans aucun doute partie du package.
Le post Le nouveau Lightning Framework offre une multitude de fonctionnalités de piratage Linux apparues en premier sur Germanic News.