الأمن السيبراني
#VoidLink
#Linux
إطار عمل البرمجيات الخبيثة VoidLink يستهدف خوادم السحابية لنظام Linux
تم اكتشاف إطار عمل برمجيات خبيثة متقدم ومخصص للسحابة يُدعى VoidLink، والذي يركز على بيئات السحابة، مما يوفر للمهاجمين محملات مخصصة، وزرع، وأدوات التحكم، وملحقات مصممة للبنى التحتية الحديثة.
تم كتابة VoidLink بلغة Zig وGo وC، ويظهر كوده علامات على أنه مشروع تحت التطوير النشط، مع وثائق شاملة، ومن المحتمل أنه مُعد لأغراض تجارية.
يقول محللو البرمجيات الخبيثة في شركة Check Point للأمن السيبراني إن VoidLink يمكنه تحديد ما إذا كان يعمل داخل بيئات Kubernetes أو Docker وتعديل سلوكه وفقًا لذلك.
ومع ذلك، لم يتم تأكيد أي إصابات نشطة، مما يدعم الافتراض بأن البرمجيات الخبيثة تم إنشاؤها "إما كعرض منتج أو كإطار عمل تم تطويره لعميل".
تشير الأبحاث إلى أن VoidLink يبدو أنه تم تطويره وصيانته من قبل مطورين يتحدثون الصينية، بناءً على لغة واجهة المستخدم والتحسينات.
قدرات VoidLink
يعد VoidLink إطار عمل قابل للتعديل بعد الاستغلال لأنظمة Linux يمكّن القراصنة من التحكم في الآلات المخترقة مع البقاء مخفيين، وتوسيع الوظائف باستخدام الملحقات، وتكييف السلوك مع بيئات السحابة والحاويات المحددة.
بمجرد تفعيل الزرع، يتحقق مما إذا كان يعمل في Docker أو Kubernetes، ويستفسر عن بيانات التعريف الخاصة بمزودي السحابة مثل AWS وGCP وAzure وAlibaba وTencent، مع خطط لإضافة Huawei وDigitalOcean وVultr.
يجمع الإطار تفاصيل النظام مثل إصدار النواة، والهايبرفايزر، والعمليات، وحالة الشبكة، ويفحص أدوات EDR، وتقوية النواة، وأدوات المراقبة.
تُرسل جميع المعلومات ودرجة المخاطر المحسوبة بناءً على الحلول الأمنية المثبتة وإجراءات التقوية إلى المشغل، مما يسمح له بتعديل سلوك الوحدة، مثل تقليل سرعة فحص المنافذ وزيادة فترات الإشعارات.
يتواصل الزرع مع المشغل باستخدام بروتوكولات متعددة (HTTP وWebSocket وDNS tunneling وICMP)، مغلفة في طبقة رسائل مشفرة مخصصة تُسمى 'VoidStream'، والتي تخفي حركة المرور لتبدو كأنها نشاط ويب أو API عادي.
تُعتبر ملحقات VoidLink ملفات كائن ELF تُحمّل مباشرة في الذاكرة وتستدعي واجهات برمجة التطبيقات الخاصة بالإطار عبر syscalls.
وفقًا لتحليل Check Point، تستخدم الإصدارات الحالية من VoidLink 35 ملحقًا في التكوين الافتراضي:
- استطلاع (النظام، المستخدمون، العمليات، الشبكة)
- تعداد السحابة والحاويات ومساعدات الهروب
- جمع بيانات الاعتماد (مفاتيح SSH، بيانات اعتماد Git، الرموز، مفاتيح API، بيانات المتصفح)
- الحركة الجانبية (الأصداف، توجيه المنافذ والأنفاق، الانتشار المعتمد على SSH)
- آليات الاستمرارية (إساءة استخدام الرابط الديناميكي، وظائف الجدول الزمني، خدمات النظام)
- مكافحة التحليل (مسح السجلات، تنظيف التاريخ، تغيير الطوابع الزمنية)
لضمان بقاء هذه العمليات غير مكتشفة، يستخدم VoidLink مجموعة من وحدات الجذر الخفية التي تخفي العمليات والملفات ومآخذ الشبكة أو الجذر نفسه.
اعتمادًا على إصدار نواة المضيف، يستخدم الإطار LD_PRELOAD (الإصدارات القديمة) أو LKMs (وحدات النواة القابلة للتحميل) أو الجذر الخفي القائم على eBPF.
بالإضافة إلى ذلك، يمكن لـ VoidLink اكتشاف مصححات الأخطاء في البيئة، ويستخدم تشفير الشيفرة في وقت التشغيل، ويقوم بإجراء فحوصات السلامة لاكتشاف الخطافات والتلاعب، وجميعها آليات متقدمة لمكافحة التحليل.
إذا تم اكتشاف التلاعب، يقوم الزرع بحذف نفسه، وتقوم وحدات مكافحة التحليل بمسح السجلات، وتاريخ الأصداف، وسجلات تسجيل الدخول، وتقوم بكتابة جميع الملفات التي تم إسقاطها على المضيف بشكل آمن، مما يقلل من التعرض للتحقيقات الجنائية.
يقول باحثو Check Point إن VoidLink تم تطويره مع مراعاة الخفاء، حيث "يهدف إلى أتمتة التهرب قدر الإمكان" من خلال إجراء ملف تعريف شامل للبيئة المستهدفة قبل اختيار أفضل استراتيجية.
يلاحظون أن الإطار الجديد "أكثر تقدمًا بكثير من البرمجيات الخبيثة التقليدية لنظام Linux" وهو عمل لمطورين ذوي "مستوى عالٍ من الخبرة التقنية" وماهرين جدًا في لغات البرمجة المتعددة.
"العدد الهائل من الميزات وهندسته القابلة للتعديل تظهر أن المؤلفين كانوا يعتزمون إنشاء إطار عمل معقد وحديث وغني بالميزات،" يقول الباحثون.
تقدم Check Point في التقرير اليوم مجموعة من مؤشرات الاختراق جنبًا إلى جنب مع التفاصيل الفنية حول الوحدات وقائمة من الملحقات المكتشفة.
الخلاصة
في الختام، يمثل VoidLink إطار عمل متقدم للبرمجيات الخبيثة يستهدف خوادم السحابة لنظام Linux، مما يعكس تطورًا ملحوظًا في تقنيات الهجوم السيبراني.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!