Sicherheitsforscher haben ein neues Malware-Framework für Linux mit dem Namen "Lightning" entdeckt. Das Framework bietet eine Fülle von Fähigkeiten wie das Ausführen von Plugins und die Möglichkeit, Rootkits zu installieren und kann mit dem Angreifer passiv und aktiv kommunizieren. Intezer, ein Anbieter von Cybersicherheitsprodukten und -Dienstleistungen für Tier-1-Provider, hat Bruchstücke davon analysiert und die technische Analyse veröffentlicht.
Ein genauer Blick auf das Lightning Framework
Das Lightning Framework landet in Form eines Downloaders auf dem betroffenen Zielrechner wo es sich als Passwort- und Schlüsselmanager "Seahorse" tarnt. Nach der Installation erstellt das Framework eine globale eindeutige Identifikationsnummer und sendet sie an den kontrollierenden Server. Anschließend lädt der Downloader Plugins und Module nach. Ein Teil der Module war bei der Analyse von Intezer nicht vorhanden. Allerdings konnten die Entdecker der Malware durch Reverse Engineering zumindest die Dateinamen der Module in Erfahrung bringen. Daraus schließen sie, dass das Framework möglicherweise Nethogs, iftop, IPTraf und ein Modul namens SsHijacker enthält.
Darüber hinaus lädt das Lightning Framework ein Kernmodul nach, das Befehle vom Kontrollserver des Angreifers entgegennimmt und von den Plugin-Modulen ausführen lässt. Der Prozess tarnt sich als Teil des Zielrechner-Kernels und läuft ebenfalls für Befehle wie ps und netstat möglicherweise unter dem Radar. Das Framework öffnet auf dem betroffenen System eine Backdoor via SSH sammelt Informationen über das Betriebssystem liest, löscht und sendet Dateien und deren Metadaten an den Angreifer und ermöglicht eine Manipulation von Daten auf dem angegriffenen System. Alle Daten sendet das Framework im JSON-Format via TCP an den Angreifer.
Was sind die möglichen Einsatzzwecke von Lightning?
Obwohl das Malware-Framework Lightning für Linux nicht sehr elaboriert zu sein scheint, da es einfache und bekannte Methoden und Schwachstellen und mutmaßlich frei verfügbare Software als Module verwendet, könnte es dennoch für verschiedene Zwecke zum Einsatz kommen. Mögliche Ziele könnten die Analyse von Firmen- und Behördennetzwerken sein möglicherweise in der Absicht sich darin weiter zu verbreiten. Aber auch Privatrechner und kleine private Netzwerke sind anfällig. Lightning könnte für Wirtschaftsspionage die Vorbereitung von Ransomware-Angriffen oder das Verwischen von Spuren nach einem Hack eingesetzt werden. Betroffenen könnten auch noch inkriminierbare Daten untergeschoben werden um sie auf altmodische Art zu erpressen oder der Polizei Anlass zu einer Hausdurchsuchung zu geben.
Wie kann man Lightning erkennen?
Intezer hat angekündigt einen Blogbeitrag zu veröffentlichen in dem beschrieben wird, ebenso wie man das Lightning Framework auf seinem Rechner erkennen kann. Bisher wurde die Malware noch nicht bei Angriffen in freier Wildbahn beobachtet jedoch das bedeutet nicht: Es keine gibt. Daher ist es wichtig; dass man sich schützt und wachsam bleibt. Sichere Passwörter, regelmäßige Updates und Vorsicht beim Klicken auf verdächtige Links können dazu beitragen die Gefahr von Malware-Angriffen zu reduzieren.
Kommentare