Cercetătorii în securitate cibernetică au dezvăluit un framework Linux post-exploatare nou identificat, care operează integral în memorie, evitând mecanismele tradiționale de detectare bazate pe fișiere și permițând atacatorilor să mențină accesul persistent la sistemele compromise.
// Termenul „linux furtiv” se referă, în contextul securității cibernetice, la malware-ul conceput special pentru sistemele Linux, care rulează în mod ascuns (stealth), evitând detectarea de către instrumentele de securitate tradiționale.
Cyble Research & Intelligence Labs (CRIL) și-a publicat analiza ShadowHS joi, dezvăluind framework-ul ca fiind o variantă înarmată a utilitarului hackshell, proiectată pentru intruziuni pe termen lung, controlate de operatori, mai degrabă decât pentru exploatare automată în masă.
Arhitectură de execuție exclusiv în memorie
ShadowHS utilizează un încărcător de shell criptat în mai multe etape care decriptează și implementează sarcina utilă folosind criptare AES-256-CBC combinată cu omiterea de octeți Perl și decompresie gzip. Sarcina utilă se execută direct din descriptori de fișiere anonimi prin /proc/<pid>/fd/<fd> cu un argv falsificat, asigurându-se că niciun artefact binar nu este scris pe disc.
„ShadowHS demonstrează o separare clară între activitatea restrânsă în timpul execuției și capabilitățile extinse în stare latentă”, a declarat CRIL în raportul său. „Acest lucru indică o platformă de post-exploatare condusă deliberat de operatori, mai degrabă decât malware automatizat”.
Exfiltrare Discretă și Capabilități Dormante
Printre trăsăturile distinctive ale ShadowHS se numără mecanismul său de exfiltrare a datelor, care evită în totalitate canalele de rețea standard. Framework-ul implementează tunelare în spațiul utilizatorului peste GSocket, înlocuind transportul implicit al rsync pentru a transfera fișiere discret prin firewall-uri și medii de rețea restrictive. CRIL a observat două variante: una care utilizează tunelare bazată pe DBus și alta care folosește tuneluri GSocket de tip netcat, ambele păstrând marcajele temporale și stările parțiale ale transferurilor pentru a susține fluxurile de lucru de exfiltrare de lungă durată.
Framework-ul conține module dormante pe care operatorii le pot activa la cerere, inclusiv extragerea memoriei pentru furtul de credențiale, mișcare laterală bazată pe SSH și scanare prin forță brută folosind instrumente precum Rustscan și spirit, escaladarea privilegiilor prin exploatări ale kernelului și minarea de criptomonede prin XMRig, GMiner și lolMiner.
La execuție, cadrul de lucru prioritizează recunoașterea în detrimentul acțiunii imediate, identificând măsurile de securitate ale gazdei și evaluând compromiterile anterioare ale sistemului înainte de a activa operațiuni cu risc mai ridicat. Sarcina utilă efectuează descoperirea agresivă a soluțiilor de detectare și răspuns la nivel de endpoint, verificând instrumente comerciale de securitate, inclusiv CrowdStrike, Tanium, Sophos și Microsoft Defender, precum și agenți cloud și colectori de telemetrie pentru tehnologia operațională.
Provocări în apărare
ShadowHS incorporează logică anti-competiție pentru a detecta și elimina familii rivale de malware precum Rondo, Kinsing și backdoor-ul de furt de credențiale Ebury, evaluând în același timp integritatea kernel-ului și modulele încărcate pentru a determina dacă gazdele sunt deja compromise.
Descoperirea survine în contextul unei îngrijorări crescute privind amenințările Linux sofisticate. La începutul acestei luni, Check Point Research a dezvăluit VoidLink, un framework separat de malware Linux cu legături chineze, care dispune de peste 30 de plugin-uri modulare ce vizează mediile cloud.
CRIL a subliniat că soluțiile antivirus tradiționale bazate pe semnături sunt insuficiente împotriva framework-urilor precum ShadowHS, recomandând organizațiilor să acorde prioritate monitorizării prin detecție comportamentală pentru execuție din descriptori de fișiere, decriptare OpenSSL în pipeline-uri shell, anomalii de spoofing argv și transferuri de date atipice prin tuneluri în spațiul utilizator.
Surse:
https://thecyberexpress.com/shadowhs-fileless-linux-exploitation-framework/