收集安然研究人员近日披露了一种先前未被记录的、功能丰富的恶意软件框架的具体信息,该框架代号为VoidLink,专门设计用于经久、隐蔽地拜访基于Linux的云情况。
根据Check Point Research的一份新申报,这款云原生的Linux恶意软件框架包含一系列自定义加载器、植入法度榜样、rootkit和模块化插件,使其操作者可以或许随时光推移加强或改变其功能,并在目标变更时进行”转向”。该框架于2025年12月初次被发明。
这家收集安然公司在今日宣布的分析申报中称:”该框架包含多项专注于云的功能和模块,专为在云和容器情况中长时光稳定运行而设计。VoidLink的架构极其灵活且高度模块化,环绕一个自定义插件API构建,该API的灵感似乎源自Cobalt Strike的Beacon对象文件办法。默认情况下,跨越30个插件模块均应用此API。”
这些发明反应了威逼行动者的存眷点正从Windows体系转向已成为云办事和症毕营业基石的Linux体系。VoidLink处于积极保护和演进中,评估认为其与中国有接洽关系的威逼行动者有关。
作为一个应用Zig编程说话编写的”云优先”植入法度榜样,该对象包可以或许检测重要的云情况,即亚马逊收集办事、谷歌云、微软Azure、阿里云和腾讯云,并能辨认自身是否运行在Docker容器或Kubernetes Pod中,从而调剂其行动。它还能收集与云情况以及Git等风行源代码版本控制体系相干的凭证。
对准这些办事注解,VoidLink很可能专门针对软件开辟人员设计,意图窃取敏感数据或应用获得的拜访权限提议供给链进击。
其他部分功能列举如下:
-
应用LD_PRELOAD、可加载内核模块和eBPF隐蔽自身过程的类Rootkit功能。
-
用于扩大功能的过程内插件体系。
-
在被攻下主机之间形成点对点或网状收集。
-
反取证:根据关键字擦除或编辑日记和shell汗青记录,并对文件进行时光戳修改以阻碍分析。
-
一个基于Web的中文控制面板,许可进击者长途控制植入法度榜样、动态创建定制版本、治理文件、义务和插件,并履行从侦查、持久化到横向移动和防御规避(经由过程清除恶意活动陈迹)的全部进击周期的不合阶段。
云:帮助进行Kubernetes和Docker发明与权限晋升、容器逃逸,并探测设备缺点。
凭证窃取:收集凭证和密钥,包含SSH密钥、Git凭证、本地暗码材料、浏览器凭证与Cookie、令牌和API密钥。
VoidLink支撑37个插件,涵盖反取证、侦查、容器、权限晋升、横向移动等类别,使其成为一个功能周全的后渗入渗出应用框架:
-
横向移动:应用基于SSH的蠕虫进行横向传播。
-
持久化:经由过程滥用动态链接器、cron功课和体系办事来建立持久化拜访。
-
侦查:收集具体的体系和情况信息。
Check Point将其描述为”令人印象深刻”且”远比典范的Linux恶意软件先辈”,并指出VoidLink具有一个处理C2通信和义务履行的核心调和器组件。
它还融合了大年夜量反分析功能以规避检测。除了可以或许标记各类调试器和监控对象外,一旦检测到任何修改迹象,它还能自我删除。它还具备自我修改代码功能,可在运行时解密受保护的代码区域,并在不应用时将其加密,从而绕过运行时内存扫描器。
支撑多种敕令与控制信道,如HTTP/HTTPS、WebSocket、ICMP和DNS地道。
此外,该恶意软件框架会列举受感染主机上安装的平安产品和加固办法,以计算风险评分并制订周全的规避策略。例如,这可能涉及在高风险情况中放慢端口扫描速度并进行更精确的控制。
Check Point指出:”开辟者展示出高程度的技巧特长,闇练控制包含Go、Zig、C和React等现代框架在内的多种编程说话。此外,进击者拥有对复杂操作体系内部道理的深刻懂得,从而可以或许开辟出先辈而复杂的解决筹划。VoidLink旨在尽可能主动化地实现规避,对情况进行画像并选择最合适的策略在个中运作。结合内核模式的技能和宏大年夜的插件生态体系,VoidLink使其操作者可以或许以自适应的隐秘方法在云情况和容器生态体系中活动。”
发表评论 取消回复