El marco de software se ha vuelto esencial para desarrollar casi todo el software complejo en estos días. El marco web de Django, por ejemplo, agrupa todas las bibliotecas, archivos de imagen y otros componentes necesarios para crear e implementar rápidamente aplicaciones web, lo que lo convierte en un pilar en empresas como Google, Spotify y Pinterest. Los marcos proporcionan una plataforma que realiza funciones comunes como el registro y la autenticación compartida en un ecosistema de aplicaciones.
La semana pasada, los investigadores de la firma de seguridad Intezer revelaron Lightning Framework, un marco modular de malware para Linux que no ha sido documentado hasta ahora. Lightning Framework es un malware posterior a la explotación, lo que significa que se instala después de que un atacante ya obtuvo acceso a una máquina objetivo. Una vez instalado, puede proporcionar algunas de las mismas eficiencias y velocidad a los compromisos de Linux que Django proporciona para el desarrollo web.
“Es raro ver un marco tan intrincado desarrollado para apuntar a sistemas Linux”, escribió Ryan Robinson, investigador de seguridad de Intezer, en un artículo. correo. “Lightning es un marco modular que descubrimos que tiene una gran cantidad de capacidades y la capacidad de instalar múltiples tipos de rootkit, así como la capacidad de ejecutar complementos”.
entero
Lightning consiste en un descargador llamado Lightning.Downloader y un módulo central llamado Lightning.Core. Se conectan a un servidor de comando y control designado para descargar software y recibir comandos, respectivamente. Luego, los usuarios pueden ejecutar cualquiera de al menos siete módulos que hacen todo tipo de cosas nefastas. Las capacidades incluyen comunicaciones pasivas y activas con el actor de amenazas, incluida la apertura de un caparazón seguro en la máquina infectada y un comando maleable polimórfico.
El marco tiene capacidades pasivas y activas para la comunicación con el actor de amenazas, incluida la apertura de SSH en una máquina infectada y soporte para conectarse a servidores de comando y control que usan perfiles maleables. Los marcos de malware han existido durante años, pero no hay muchos que brinden un soporte tan completo para la piratería de máquinas Linux.
En un correo electrónico, Robinson dijo que Intezer encontró el malware en VirusTotal. El escribio:
La entidad que lo presentó parece estar relacionada con una organización manufacturera china que fabrica pequeños electrodomésticos. Encontramos esto basándonos en otras presentaciones del mismo remitente. Tomé las huellas dactilares del servidor que usamos para identificar a la empresa y, de hecho, estaban usando Centos (para el cual se compiló el malware). Pero esto aún no es lo suficientemente sólido como para concluir que ellos eran los objetivos o estaban infectados con el malware. No hemos aprendido nada nuevo desde la publicación. Lo ideal que esperamos encontrar es uno de los perfiles de configuración C2 maleables encriptados. Nos daría IOC de red para realizar pivoting.
Intezer pudo obtener partes del marco pero no todo. A partir de los archivos que los investigadores de la empresa pudieron analizar, pudieron inferir la presencia de otros módulos. La empresa proporcionó el siguiente resumen:
| Nombre | Nombre en disco | Descripción |
| Lightning.Downloader | kbioset | El módulo persistente que descarga el módulo principal y sus complementos |
| Rayo.Núcleo | kkdmflush | El módulo principal de Lightning Framework |
| Linux.Plugin.Lightning.SsHijacker | de lo contrario | Hay una referencia a este módulo, pero aún no se ha encontrado ninguna muestra en la naturaleza. |
| Linux.Complemento.Lightning.Sshd | calzado | OpenSSH con claves privadas y de host codificadas |
| Linux.Complemento.Lightning.Nethogs | nethoogs | Hay una referencia a este módulo, pero aún no se ha encontrado ninguna muestra en la naturaleza. Presuntamente el software Nethogs |
| Linux.Complemento.Lightning.iftop | si es así | Hay una referencia a este módulo, pero aún no se ha encontrado ninguna muestra en la naturaleza. Presuntamente el software si arriba |
| Linux.Complemento.Lightning.iptraf | iptraof | Hay una referencia a este módulo, pero aún no se ha encontrado ninguna muestra en la naturaleza. Presuntamente el software Tráfico IP |
| Linux.Plugin.RootkieHide | libsystemd.so.2 | Hay una referencia a este módulo, pero aún no se ha encontrado ninguna muestra en la naturaleza. Rootkit LD_PRELOAD |
| Linux.Complemento.Kernel | elastisearch.ko | Hay una referencia a este módulo, pero aún no se ha encontrado ninguna muestra en la naturaleza. Rootkit LKM |
Hasta el momento, no hay instancias conocidas de Lightning Framework que se utilicen activamente en la naturaleza. Por otra parte, dada la abundancia de capacidades disponibles, el sigilo de última generación es, sin duda, parte del paquete.