2022年7月22日 / 最終更新日 : 2022年7月22日 Kazuo_Komoriya ほぼこもセキュリティニュース

Lightning Framework

ほぼこもセキュリティニュース By Terilogy Worx

Lightning Frameworkは名前の通りフレームワークです。
マルウェアのフレームワークです。
モジュラープラグインとルートキットをインストールする機能を備えた、これまで検出されていない新しい10徳ナイフのようなLinuxマルウェアです。

このマルウェアを構成するすべてのモジュールが研究者の手元にそろっているわけではありませんが、解析できた部分から全貌の予測が進んでいます。
このような機能要素を備えています。

  • Lightning.Downloader
    コアモジュールとそのプラグインをダウンロードする永続モジュールです。
    マルウェア本体のダウンロードを行いますし、各種モジュールのダウンロードも行います。
  • Lightning.Core
    マルウェアの本体です。
    C2との通信の機能を持ち、プラグインを実行できます。
    ルートキットを展開する機能もここに実装されています。
  • Linux.Plugin.Lightning.SsHijacker
    このモジュールは呼び出されている部分が確認されていますが、モジュールの実体部分はサンプルがまだ見つかっていません。
    しかしこの名称だけで十分すぎる脅威に思えます。
  • Linux.Plugin.Lightning.Sshd
    ハードコードされた秘密鍵とホスト鍵を使用したOpenSSHデーモンです。
    攻撃者はこの鍵の情報をもっているのです。
    そうです、攻撃者は侵害先そのものの設定に依存することなく、この環境に接続し放題です。
  • Linux.Plugin.Lightning.Nethogs
    このモジュールは呼び出されている部分が確認されていますが、モジュールの実体部分はサンプルがまだ見つかっていません。
    名前から推測するとNethogsと同じ機能を持つものだと考えられます。
    Nethogsはネットワークのリソース利用状況を確認できるツールです。
    プロセスごとに帯域幅をグループ化して確認することができます。
  • Linux.Plugin.Lightning.iftop
    このモジュールは呼び出されている部分が確認されていますが、モジュールの実体部分はサンプルがまだ見つかっていません。
    名前から推測するとiftopと同じ機能を持つものだと考えられます。
    iftopはインターフェイス毎の帯域幅使用量を表示することができます。
  • Linux.Plugin.Lightning.iptraf
    このモジュールは呼び出されている部分が確認されていますが、モジュールの実体部分はサンプルがまだ見つかっていません。
    名前から推測するとIPTrafと同じ機能を持つものだと考えられます。
    IPTrafはネットワークモニタリングツールです。
    TCP接続のパケットとバイト数、インターフェイスの統計とアクティビティインジケータ、TCP/UDPトラフィックの内訳、LANステーションのパケットとバイト数などのさまざまな数値を収集します。
  • Linux.Plugin.RootkieHide
    このモジュールは呼び出されている部分が確認されていますが、モジュールの実体部分はサンプルがまだ見つかっていません。
    名前から推測するとルートキット機能を持つものだと考えられます。
    libsystemd.so.2という名前での記述が確認できていることから、このモジュールはLD_PRELOAD型のルートキットなのかもしれません。
    標準ライブラリの関数の挙動を変更する方向の動きを提供するモジュールに思えます。
  • Linux.Plugin.Kernel
    このモジュールは呼び出されている部分が確認されていますが、モジュールの実体部分はサンプルがまだ見つかっていません。
    名前から推測するとルートキット機能を持つものだと考えられます。
    elastisearch.koという名前での記述が確認できていることから、このモジュールはLKM型のルートキットなのかもしれません。
    LKMはLoadable Kernel Moduleです。

実に多くの機能を持つマルウェアです。
潜むための機構、調査のための機構、機能拡張のための機構、接続するための機構、これらのすべてを備えています。
このフレームワークを使えば長期的な潜伏も可能なのではないかと想像できます。

こういったマルウェアは増加の傾向があります。
それぞれのホストの上での防御機構や運用だけでは、こういった次々に出てくる巧妙な脅威に対応できると思えない状況です。
個々のホストの正しい運用に加え、ネットワーク監視的なホスト上の機構に依存しない機構による安全対策の導入が必要となってきていると感じます。

参考記事(外部リンク):Lightning Framework: New Undetected “Swiss Army Knife” Linux
Malware
www.intezer.com/blog/research/lightning-framework-new-linux-threat/

カテゴリー
ほぼこもセキュリティニュース
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

前の記事

クロスプラットフォームなランサムウェア
2022年7月21日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

また来たAmadey Bot
2022年7月25日