Скрытный вредоносный фреймворк, нацеленный на облака, обнаружили до первого заражения. Он был написан сразу на трех языках

Эксперты Check Point обнаружили новый фреймворк VoidLink, нацеленный на облачные среды. Его авторы использовали сразу три языка для его создания.

Триглав

Исследователи компании Check Point выявили ранее неизвестный вредоносный фреймворк под названием VoidLink, который нацелен преимущественно на облачные ресурсы. Пользователи фреймворка получают в своё распоряжение масштабный ассортимент загрузчиков, имплантов, руткитов и прочих вредоносных компонентов, которые могут использоваться для атак на целевые ресурсы.

VoidLink написан на языках Zig, Go и C, и всё указывает на активно продолжающуюся разработку. Характерно, что фреймворк глубоко задокументирован, что может свидетельствовать о его коммерческой природе.

По данным исследователей, VoidLink может определять окружение, или, во всяком случае, различает Docker и Kubernetes, и подстраивается под них.

Unsplash - Max Duzi

Любопытно, что к настоящему времени активных заражений обнаружить не удалось. По-видимому, его разрабатывают для продажи - или на заказ.

Родным языком разработчиков, по-видимому, является китайский.

VoidLink имеет модульную структуру. Ег оосновное назначение - удерживать контроль над скомпрометированными ресурсами, оставаясь при этом незамеченным. Как выяснили исследователи, помимо проверки Docker/Kubernetes, фреймворк пытается получить метаданные облачного ресурса, чтобы определить провайдера. На данный момент он распознаёт AWS, GCP, Azure, Alibaba и Tencent. Судя по коду, планируется добавить Huawei, DigitalOcean и Vultr.

Разведка, адаптация, скрытность

Фреймворк собирает данные о системе, в том числе о версии ядра Linux, гипервизоре, процессах и состоянии сетевого окружения. Он также пытается выявить EDR-средства, инструменты для защиты ядра и мониторинговые системы.

Вся эта информация передаётся оператору вместе с оценкой риска (которая выводится на основании используемых защитных средств). Оператор соответствующим образом модифицирует поведение вредоносных компонентов.

Имплант обменивается данными с оператором через несколько протоколов - HTTP, WebSocket, DNS-туннелирование, ICMP, однако сообщения зашифрованы кастомным алгоритмом VoidStream, который маскирует трафик под рядовой поток сетевых или API-данных.

Плагины VoidLink представляют собой объекты ELF, которые загружаются прямиком в память и запрашивают API фреймворка через вызовы syscalls.

По данным исследователей Check Point, сейчас VoidLink включает 35 плагинов в дефолтной конфигурации, предназначенных для разведки сетевого окружения и данных о пользователях, инвентаризации облачных ресурсов и контейнеров, сбора реквизитов доступа (SSH- и API-ключей, реквизитов Git, токенов, данных браузера). Другие плагины отвечают за скрытное передвижение по сети, механизмы обеспечения присутствия и скрытности и др.

Фреймворк также использует целый ряд руткит-модулей, которые способны скрывать процессы, файлы, сетевые сокеты и сами руткиты.

Какие именно руткиты используются, зависит от версии ядра. Для старых версию используются руткиты на базе LD_PRELOAD, для более новых - LKM или eBPF.

Сверх этого VoidLink способен опеределять средства отладки в окружающей среде, использует шифрование кода среды запуска осуществляет проверки целостности кода для выявления инструментов анализа.

Если обнаруживаются признаки таких инструментов, имплант самоудаляется, а противоотладочные модули ликвидируют логи, историю шеллов, записи о логинах и перезаписывают все файлы, привнесённые фреймворком, максимально затрудняя анализ.

Эксперты Check Point отмечают, что VoidLink разрабатывался с прицелом на скрытность и максимальную автоматизацию противодействия средствам анализа. Тщательная разведка целевого окружения позволяет определить оптимальную стратегию.

«Огромный функциональный арсенал и модульная архитектура указывают на то, что авторы намеревались создать продвинутый, современный и многоцелевой фреймворк», - написали исследователи, добавив, что разработчики демонстрируют очень высокий уровень технической экспертизы и широкие познания в программировании на множестве языков.

«Подобные инструменты можно сравнить со «швейцарскими ножами»: их создают в качестве инструмента «на все случаи жизни» и, скорее всего, для множества потенциальных пользователей, - считает Никита Павлов, эксперт по информационной безопасности компании SEQ. - Теперь, когда этот фреймворк выявили, его запуск в ротацию, вероятно, будет отсрочен, но вряд ли на длительное время».

Вероятность того, что за разработкой стоят спецслужбы, эксперт оценил как довольно низкую, поскольку те предприняли бы меры для обеспечения секретности.