\n<\/aside>\n<\/p>\n
El marco de software se ha vuelto esencial para desarrollar casi todo el software complejo en estos d\u00edas. El marco web de Django, por ejemplo, agrupa todas las bibliotecas, archivos de imagen y otros componentes necesarios para crear e implementar r\u00e1pidamente aplicaciones web, lo que lo convierte en un pilar en empresas como Google, Spotify y Pinterest. Los marcos proporcionan una plataforma que realiza funciones comunes como el registro y la autenticaci\u00f3n compartida en un ecosistema de aplicaciones.<\/p>\n
La semana pasada, los investigadores de la firma de seguridad Intezer revelaron Lightning Framework, un marco modular de malware para Linux que no ha sido documentado hasta ahora. Lightning Framework es un malware posterior a la explotaci\u00f3n, lo que significa que se instala despu\u00e9s de que un atacante ya obtuvo acceso a una m\u00e1quina objetivo. Una vez instalado, puede proporcionar algunas de las mismas eficiencias y velocidad a los compromisos de Linux que Django proporciona para el desarrollo web.<\/p>\n
\u201cEs raro ver un marco tan intrincado desarrollado para apuntar a sistemas Linux\u201d, escribi\u00f3 en una publicaci\u00f3n Ryan Robinson, investigador de seguridad de Intezer. \u201cLightning es un marco modular que descubrimos que tiene una gran cantidad de capacidades y la capacidad de instalar m\u00faltiples tipos de rootkit, as\u00ed como la capacidad de ejecutar complementos\u201d.<\/p>\n\nentero<\/p>\n<\/figcaption><\/figure>\n
Lightning consiste en un descargador llamado Lightning.Downloader y un m\u00f3dulo central llamado Lightning.Core. Se conectan a un servidor de comando y control designado para descargar software y recibir comandos, respectivamente. Luego, los usuarios pueden ejecutar cualquiera de al menos siete m\u00f3dulos que hacen todo tipo de cosas nefastas. Las capacidades incluyen comunicaciones pasivas y activas con el actor de amenazas, incluida la apertura de un caparaz\u00f3n seguro en la m\u00e1quina infectada y un comando maleable polim\u00f3rfico.<\/p>\n\n Anuncio publicitario <\/span> <\/p>\n<\/aside>\nEl marco tiene capacidades pasivas y activas para la comunicaci\u00f3n con el actor de amenazas, incluida la apertura de SSH en una m\u00e1quina infectada y soporte para conectarse a servidores de comando y control que usan perfiles maleables. Los marcos de malware han existido durante a\u00f1os, pero no hay muchos que brinden un soporte tan completo para la pirater\u00eda de m\u00e1quinas Linux.<\/p>\n
En un correo electr\u00f3nico, Robinson dijo que Intezer encontr\u00f3 el malware en VirusTotal. El escribio:<\/p>\n
\nLa entidad que lo present\u00f3 parece estar relacionada con una organizaci\u00f3n manufacturera china que fabrica peque\u00f1os electrodom\u00e9sticos. Encontramos esto bas\u00e1ndonos en otras presentaciones del mismo remitente. Tom\u00e9 las huellas dactilares del servidor que usamos para identificar a la empresa y, de hecho, estaban usando Centos (para el cual se compil\u00f3 el malware). Pero esto a\u00fan no es lo suficientemente s\u00f3lido para concluir que ellos eran los objetivos o estaban infectados con el malware. No hemos aprendido nada nuevo desde la publicaci\u00f3n. Lo ideal que esperamos encontrar es uno de los perfiles de configuraci\u00f3n C2 maleables encriptados. Nos dar\u00eda IOC de red para realizar pivoting.<\/p>\n<\/blockquote>\n
Intezer pudo obtener partes del marco pero no todo. A partir de los archivos que los investigadores de la empresa pudieron analizar, pudieron inferir la presencia de otros m\u00f3dulos. La empresa proporcion\u00f3 el siguiente resumen:<\/p>\n\n\n\n\nNombre<\/strong><\/td>\nNombre en disco<\/strong><\/td>\nDescripci\u00f3n<\/strong><\/td>\n<\/tr>\n\nLightning.Downloader<\/td>\n kbioset<\/td>\n El m\u00f3dulo persistente que descarga el m\u00f3dulo principal y sus complementos<\/td>\n<\/tr>\n \nRayo.N\u00facleo<\/td>\n kkdmflush<\/td>\n El m\u00f3dulo principal de Lightning Framework<\/td>\n<\/tr>\n \nLinux.Plugin.Lightning.SsHijacker<\/td>\n susurro<\/td>\n Hay una referencia a este m\u00f3dulo, pero a\u00fan no se ha encontrado ninguna muestra en la naturaleza.<\/td>\n<\/tr>\n \nLinux.Complemento.Lightning.Sshd<\/td>\n calzado<\/td>\n OpenSSH con claves privadas y de host codificadas<\/td>\n<\/tr>\n \nLinux.Complemento.Lightning.Nethogs<\/td>\n nethoogs<\/td>\n Hay una referencia a este m\u00f3dulo, pero a\u00fan no se ha encontrado ninguna muestra en la naturaleza. Presumiblemente el software Nethogs<\/td>\n<\/tr>\n \nLinux.Complemento.Lightning.iftop<\/td>\n si es as\u00ed<\/td>\n Hay una referencia a este m\u00f3dulo, pero a\u00fan no se ha encontrado ninguna muestra en la naturaleza. Presumiblemente el software iftop<\/td>\n<\/tr>\n \nLinux.Complemento.Lightning.iptraf<\/td>\n iptraof<\/td>\n Hay una referencia a este m\u00f3dulo, pero a\u00fan no se ha encontrado ninguna muestra en la naturaleza. Presumiblemente el software IPTraf<\/td>\n<\/tr>\n \nLinux.Plugin.RootkieHide<\/td>\n libsystemd.so.2<\/td>\n Hay una referencia a este m\u00f3dulo, pero a\u00fan no se ha encontrado ninguna muestra en la naturaleza. Rootkit LD_PRELOAD<\/td>\n<\/tr>\n \nLinux.Complemento.Kernel<\/td>\n elastisearch.ko<\/td>\n Hay una referencia a este m\u00f3dulo, pero a\u00fan no se ha encontrado ninguna muestra en la naturaleza. Rootkit LKM<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/figure>\nHasta el momento, no hay instancias conocidas de Lightning Framework que se utilicen activamente en la naturaleza. Por otra parte, dada la abundancia de capacidades disponibles, el sigilo de \u00faltima generaci\u00f3n es, sin duda, parte del paquete.<\/p>\n<\/p><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"El marco de software se ha vuelto esencial para desarrollar casi todo el software complejo en estos d\u00edas. El marco web de Django, por ejemplo, agrupa todas las bibliotecas, archivos…<\/p>\n","protected":false},"author":1,"featured_media":54818,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[185,25258,1680,22563,1119,2960,22703,3403,5244,5347,73],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/54817"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=54817"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/54817\/revisions"}],"predecessor-version":[{"id":54819,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/54817\/revisions\/54819"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/54818"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=54817"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=54817"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=54817"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}