一個新的 專為雲端設計的Linux惡意軟體框架,受洗為 虛空連結由於其技術水平,它正吸引安全分析師的關注,類似於… 利用 io_uring 隱藏的 Linux 惡意軟體 其目標顯然是現代基礎設施。該工具最早於2025年末被發現,它與傳統的惡意軟體家族截然不同:它更像是一個完整的後滲透平台,旨在長時間運行而不引起懷疑。
Check Point Research 等公司的研究 他們指出,VoidLink 目前仍處於積極開發階段 它似乎更適合商業用途或特定客戶,而不是大規模攻擊。雖然目前尚未確認任何實際感染案例,但其現有文件、模組的廣泛性以及代碼質量,使其躋身近年來分析過的最先進的Linux威脅之列,與之前的供應鏈攻擊等事件不相上下。
VoidLink:一個專為雲端和容器設計的惡意軟體框架
VoidLink 將自己呈現為一個 Linux 系統的雲端優先實現該框架旨在在雲端基礎設施和容器環境中穩定運行,它整合了自訂載入器、植入程式、類似 rootkit 的元件以及各種插件,使操作人員能夠根據每個目標和操作階段調整其功能。
該平台的核心主要建構於 像 Zig、Go 和 C 這樣的語言這增強了其在多種發行版上的可攜性和性能。其內部架構圍繞著一個專有的插件 API 展開,該 API 的靈感來自 Cobalt Strike 的 Beacon 物件檔案等方法,它允許將模組載入到記憶體中並擴展功能,而無需每次都部署新的二進位檔案。
根據技術分析,模組化設計使得 VoidLink 的功能成為可能。 即時更新或修改根據行動需求增加或移除能力:從簡單的偵察任務到持續的間諜活動或對供應鏈的潛在攻擊。
智慧型偵測雲端提供者和環境
專家最擔心的一點是VoidLink的能力 確定其運作環境此植入程式會檢查本身是否位於 Docker 容器或 Kubernetes pod 中,並查詢實例元資料以確定底層雲端提供者。
此框架認可的服務包括: 亞馬遜雲端服務 (AWS)、谷歌雲端平台 (GCP)、微軟 Azure、阿里雲和騰訊雲程式碼中已經顯示出添加與其他提供者(如華為雲、DigitalOcean 或 Vultr)相容性的計劃,它會根據發現的情況調整自身行為和激活的模組,以最大限度地減少風險。
這種分析功能也擴展到了主機系統:VoidLink 它收集有關核心、虛擬機器管理程式、進程和網路狀態的詳細資訊。它還會檢查是否存在端點檢測與反應 (EDR) 解決方案、內核加固措施以及可能揭示其活動的監控工具,因此建議使用 用於掃描rootkit的工具 在法醫分析中。
VoidLink的模組化架構與外掛系統
該框架的核心是 管理指揮與控制 (C2) 通訊的中央協調器 並將任務分配給不同的模組。數十個插件直接載入到記憶體中,並以 ELF 物件的形式實現,透過系統呼叫與內部 API 交互,它們都依賴這個核心。
分析的版本使用 預設插件數量在 35 到 37 個之間這些功能被歸類為偵察、橫向移動、持久化、反取證、容器和雲端管理以及憑證竊取等類別。這種結構使 VoidLink 成為真正的 Linux 後滲透平台,其功能可與滲透測試中使用的專業工具相媲美。
選擇內存插件系統,並且無需將新的二進位檔案寫入磁碟來添加功能,這使得… 顯著減少對現有團隊的影響 這使得法證分析師和基於文件的檢測解決方案的工作變得更加複雜。
用於遠端控制和建置建立的 Web 面板
VoidLink 操作員擁有 可透過網路存取的控制面板該控制台採用 React 等現代技術開發,使用戶能夠管理整個入侵生命週期。它提供中文文檔,支援創建自訂版本的植入程式、分配任務、上傳和下載插件以及管理受感染系統上的文件。
透過這個面板,攻擊者可以 協調攻擊的不同階段對環境進行初步偵察,建立持久性,在機器間橫向移動,使用規避技術,並清除痕跡。此面板整合了可隨時修改操作參數的選項,例如通訊間隔、隱蔽等級或連接到指揮基礎設施的方式。
這種方法更接近商業產品而非簡單的單一惡意軟體,這進一步證實了 VoidLink 的假設。 它可以作為一項服務提供,也可以作為按需框架提供。而不是成為某個特定群體專屬使用的工具。
VoidLink 使用多個指令和控制通道
為了與攻擊者的基礎設施通信,VoidLink 使用 幾種C2協議這使其能夠靈活適應不同的網路場景和監控等級。支援的通道包括傳統的HTTP和HTTPS、WebSocket、ICMP,甚至包括基於DNS的隧道。
在這些傳統協定之上疊加了一層它自己的加密層,稱為 “虛流”這種混淆旨在偽裝流量,使其類似於合法的網路請求或 API 調用,使得基於流量的安全解決方案難以使用簡單的簽名來檢測異常模式。
由於這種靈活性,運營商可以選擇 更隱蔽的通訊配置在網路控制較為嚴格的環境下,可以透過延長信標間隔或使用 ICMP 等較不常用的頻道來解決這個問題。
Rootkit 與進階隱藏技術
VoidLink 整合了多個模組。 適配 Linux 核心的 rootkit 功能 它運行在受感染的機器上。根據版本和可用功能,它可以使用不同的技術來隱藏其活動:透過 LD_PRELOAD 注入、可載入核心模組 (LKM) 或基於 eBPF 的 rootkit,正如最近出現的威脅中所述。 rotajakiro,偽裝成 systemd.
這些組件允許 隱藏進程、檔案、網路套接字,甚至隱藏rootkit本身。最大程度減少管理員和監控工具的可見痕跡。在分析系統特性後選擇合適的模組,以優化相容性和效能。
透過將這些技術與記憶體載入系統以及在容器環境中運行的能力相結合,該框架 它成功地保持了非常低調的存在感。即使在高活動水平的伺服器上,或同時運行多個應用程式的伺服器上也是如此。
VoidLink 外掛程式用於識別、持久化和橫向移動
在眾多插件中,那些專注於特定領域的插件脫穎而出。 環境評估和資訊收集這些模組會取得有關使用者、活動進程、網路拓撲、公開服務以及存在的容器和編排器的特徵的資料。
其他插件則面向 在 Linux 系統中保持持久性這包括使用各種方法,例如濫用動態載入器、建立定時任務或修改系統服務。借助這些技術,植入程序可以在無需進一步入侵的情況下,經受住重啟和適度的配置更改。
關於橫向移動,VoidLink包括 用於透過 SSH 傳播的工具此功能支援建立隧道、連接埠轉送和建立遠端 shell,從而實現機器間的無縫連接。對於採用微服務架構的歐洲基礎架構而言,此功能尤其重要,因為這類基礎架構通常包含大量透過 SSH 和內部網路連接的節點。
憑證盜竊和對開發人員的關注
該框架的很大一部分致力於 提取憑證和金鑰這包括來自雲端服務的數據,以及開發和維運團隊日常使用的工具的數據。資料擷取外掛程式可取得 SSH 金鑰、Git 憑證、存取權杖、API 金鑰、本機密碼,甚至包括 Web 瀏覽器儲存的資料。
本指南旨在確保 VoidLink 業者擁有以下權利: 開發人員、系統管理員和 DevOps 人員的優先目標此類存取權限通常意味著可以存取關鍵程式碼庫和管理儀表板。從歐洲的角度來看,這種威脅符合工業間諜活動或針對軟體供應鏈的攻擊策劃等場景。
除了憑證插件之外,該框架還提供 Kubernetes 和 Docker 的特定模組這些工具能夠列舉叢集、偵測設定錯誤、嘗試容器逃逸以及尋找過度權限。透過這種方式,最初有限的存取權限可以逐步擴展為對組織雲端環境的更廣泛控制。
反取證與自動規避機制
VoidLink不僅試圖滲透,而且 抹去他們行為的痕跡其反取證外掛程式包含編輯或刪除日誌條目、清除 shell 歷史記錄和操縱檔案時間戳記(時間戳篡改)的功能,使得後續對所發生事件的分析更加困難。
該植入物還包含 防止分析和清除的保護機制它可以偵測偵錯器和進階監控工具的存在,檢查自身程式碼的完整性,並定位可能表明其正被監控的潛在鉤子。如果偵測到竄改跡象,它可以自毀程式並觸發清理例程,刪除檔案及其活動痕跡。
其中一個特別引人注目的要素是使用 具有運行時加密功能的自修改程式碼程式的某些部分僅在需要時才解密,不用時則重新加密,這使得記憶體分析解決方案的任務變得複雜,並減少了惡意內容以明文形式可見的時間視窗。
基於已安裝防禦設施的風險評估
該框架執行 對安全環境進行全面分析 在每台受感染的機器上,它會列出已安裝的保護產品、內核加固技術和監控措施,並根據這些資訊計算出一種風險評分,以指導其行為。
如果偵測到系統受到嚴密保護,VoidLink 可以 放慢某些活動的速度例如連接埠掃描或與C2伺服器的通信,並選擇雜訊較小的技術。在風險較低的環境中,該框架可以更積極地運行,優先考慮速度而非絕對隱蔽性。
這種自動適應能力與既定目標相符: 盡可能實現規避任務的自動化使操作人員能夠將更多時間用於確定目標,而減少手動調整每個特定環境的技術參數的時間。
VoidLink 的起源和專案歸屬
分析人員收集的證據顯示: 據報道,VoidLink是由一個講中文的團隊開發的。Web 面板介面的位置、程式碼中的某些註解以及觀察到的最佳化都指向這個方向,儘管像這類研究中常見的情況一樣,這並不能作為最終的歸因。
開發品質、多種現代語言的使用以及對現有網路框架的整合表明 具備豐富的程式設計經驗及對作業系統複雜機制的深入了解所有這些都強化了這樣一個觀點:該計畫不僅僅是一個孤立的實驗,而是朝著一個可以長期維護的專業平台邁進。
同時,它們尚未被記錄在案的事實 大規模主動感染運動 這支持了以下假設:該框架處於測試階段,以非常嚴格的訪問模式提供,或僅用於高度有針對性的行動,因此很難在歐洲和其他地區被發現。
VoidLink的出現證實了這一點。 針對 Linux 和雲端環境的惡意軟體的複雜程度正在迅速提高。它正逐漸接近成熟模型的水平,而這種模型先前主要見於Windows平台的攻擊性工具。其模組化架構、對自動化規避的重視以及對憑證和容器的關注,使其成為任何擁有雲端基礎設施的組織(無論是在西班牙還是在歐洲其他地區)都必須高度重視的威脅。
