一个新的 专为云端设计的Linux恶意软件框架,洗礼为 虚空链接由于其技术水平,它正吸引着安全分析师的关注,类似于…… 利用 io_uring 隐藏的 Linux 恶意软件 其目标显然是现代基础设施。该工具最早于2025年末被发现,它与传统的恶意软件家族截然不同:它更像是一个完整的后渗透平台,旨在长时间运行而不引起怀疑。
Check Point Research 等公司的研究 他们指出,VoidLink 目前仍处于积极开发阶段 它似乎更适合商业用途或特定客户,而非大规模攻击。虽然目前尚未确认任何实际感染案例,但其现有文档、模块的广泛性以及代码质量,使其跻身近年来分析过的最先进的Linux威胁之列,与之前的供应链攻击等事件不相上下。
VoidLink:一个专为云和容器设计的恶意软件框架
VoidLink 将自身呈现为一个 Linux 系统的云优先实现该框架旨在云基础设施和容器环境中稳定运行,它集成了自定义加载器、植入程序、类似 rootkit 的组件以及各种插件,使操作人员能够根据每个目标和操作阶段调整其功能。
该平台的核心主要构建于 像 Zig、Go 和 C 这样的语言这增强了其在多种发行版上的可移植性和性能。其内部架构围绕一个专有的插件 API 展开,该 API 的灵感来源于 Cobalt Strike 的 Beacon 对象文件等方法,它允许将模块加载到内存中并扩展功能,而无需每次都部署新的二进制文件。
根据技术分析,模块化设计使得 VoidLink 的功能成为可能。 即时更新或修改根据行动需要增加或移除能力:从简单的侦察任务到持续的间谍活动或对供应链的潜在攻击。
智能检测云提供商和环境
专家们最担心的一点是VoidLink的能力 确定其运行环境该植入程序会检查自身是否位于 Docker 容器或 Kubernetes pod 中,并查询实例元数据以确定底层云提供商。
该框架认可的服务包括: 亚马逊云服务 (AWS)、谷歌云平台 (GCP)、微软 Azure、阿里云和腾讯云代码中已经显示出添加与其他提供商(如华为云、DigitalOcean 或 Vultr)兼容性的计划,它会根据发现的情况调整自身行为和激活的模块,以最大限度地减少风险。
这种分析功能也扩展到了主机系统:VoidLink 它收集有关内核、虚拟机管理程序、进程和网络状态的详细信息。它还会检查是否存在端点检测与响应 (EDR) 解决方案、内核加固措施以及可能揭示其活动的监控工具,因此建议使用 用于扫描rootkit的工具 在法医分析中。
VoidLink的模块化架构和插件系统
该框架的核心是 管理指挥与控制 (C2) 通信的中央协调器 并将任务分配给不同的模块。数十个插件直接加载到内存中,并以 ELF 对象的形式实现,通过系统调用与内部 API 交互,它们都依赖于这个核心。
分析的版本使用 默认情况下插件数量在 35 到 37 个之间这些功能被归类为侦察、横向移动、持久化、反取证、容器和云管理以及凭证窃取等类别。这种结构使 VoidLink 成为真正的 Linux 后渗透平台,其功能可与渗透测试中使用的专业工具相媲美。
选择内存插件系统,并且无需将新的二进制文件写入磁盘来添加功能,这使得…… 显著减少对现有团队的影响 这使得法证分析师和基于文件的检测解决方案的工作变得更加复杂。
用于远程控制和构建创建的 Web 面板
VoidLink 操作员拥有 可通过网络访问的控制面板该控制台采用 React 等现代技术开发,使用户能够管理整个入侵生命周期。它提供中文文档,支持创建自定义版本的植入程序、分配任务、上传和下载插件以及管理受感染系统上的文件。
通过这个面板,攻击者可以 协调攻击的不同阶段对环境进行初步侦察,建立持久性,在机器间横向移动,使用规避技术,并清除痕迹。该面板集成了可随时修改操作参数的选项,例如通信间隔、隐蔽级别或连接到指挥基础设施的方式。
这种方法更接近于商业产品而非简单的单次恶意软件,这进一步证实了 VoidLink 的假设。 它可以作为一项服务提供,也可以作为按需框架提供。而不是成为某个特定群体专属使用的工具。
VoidLink 使用多个命令和控制通道
为了与攻击者的基础设施通信,VoidLink 使用 几种C2协议这使其能够灵活适应不同的网络场景和监控级别。支持的通道包括传统的HTTP和HTTPS、WebSocket、ICMP,甚至包括基于DNS的隧道。
在这些传统协议之上叠加了一层它自己的加密层,称为 “虚流”这种混淆旨在伪装流量,使其类似于合法的网络请求或 API 调用,使得基于流量的安全解决方案难以使用简单的签名来检测异常模式。
由于这种灵活性,运营商可以选择 更隐蔽的通信配置在网络控制较为严格的环境下,可以通过延长信标间隔或使用 ICMP 等不太常用的信道来解决这个问题。
Rootkit 和高级隐藏技术
VoidLink 集成了多个模块。 适配 Linux 内核的 rootkit 功能 它运行在受感染的机器上。根据版本和可用功能,它可以使用不同的技术来隐藏其活动:通过 LD_PRELOAD 注入、可加载内核模块 (LKM) 或基于 eBPF 的 rootkit,正如最近出现的威胁中所述。 rotajakiro,伪装成 systemd.
这些组件允许 隐藏进程、文件、网络套接字,甚至隐藏rootkit本身。最大程度减少管理员和监控工具的可见痕迹。在分析系统特性后选择合适的模块,以优化兼容性和性能。
通过将这些技术与内存加载系统以及在容器环境中运行的能力相结合,该框架 它成功地保持了非常低调的存在感。即使在高活动水平的服务器上,或者同时运行多个应用程序的服务器上也是如此。
VoidLink 插件用于识别、持久化和横向移动
在众多插件中,那些专注于特定领域的插件脱颖而出。 环境评估和信息收集这些模块获取有关用户、活动进程、网络拓扑、公开服务以及存在的容器和编排器的特征的数据。
其他插件则面向 在 Linux 系统中保持持久性这包括使用各种方法,例如滥用动态加载器、创建定时任务或修改系统服务。借助这些技术,植入程序可以在无需进一步入侵的情况下,经受住重启和适度的配置更改。
关于横向移动,VoidLink包括 用于通过 SSH 传播的工具此功能支持创建隧道、端口转发和建立远程 shell,从而实现机器间的无缝连接。对于采用微服务架构的欧洲基础设施而言,此功能尤为重要,因为这类基础设施通常包含大量通过 SSH 和内部网络连接的节点。
凭证盗窃和对开发人员的关注
该框架的很大一部分致力于 提取凭证和密钥这包括来自云服务的数据,以及开发和运维团队日常使用的工具的数据。数据采集插件可以获取 SSH 密钥、Git 凭证、访问令牌、API 密钥、本地密码,甚至包括 Web 浏览器存储的数据。
本指南旨在确保 VoidLink 运营商拥有以下权利: 开发人员、系统管理员和 DevOps 人员的优先目标此类访问权限通常意味着可以访问关键代码库和管理仪表板。从欧洲的角度来看,这种威胁符合工业间谍活动或针对软件供应链的攻击策划等场景。
除了凭证插件之外,该框架还提供 Kubernetes 和 Docker 的特定模块这些工具能够枚举集群、检测配置错误、尝试容器逃逸以及查找过度权限。通过这种方式,最初有限的访问权限可以逐步扩展为对组织云环境的更广泛控制。
反取证和自动规避机制
VoidLink不仅试图渗透,而且 抹去他们行为的痕迹其反取证插件包含编辑或删除日志条目、清除 shell 历史记录和操纵文件时间戳(时间戳篡改)的功能,使得后续对所发生事件的分析更加困难。
该植入物还包含 防止分析和清除的保护机制它可以检测调试器和高级监控工具的存在,检查自身代码的完整性,并定位可能表明其正被监控的潜在钩子。如果检测到篡改迹象,它可以自毁程序并触发清理例程,删除文件及其活动痕迹。
其中一个特别引人注目的要素是使用 具有运行时加密功能的自修改代码程序的某些部分仅在需要时才解密,不用时则重新加密,这使得内存分析解决方案的任务变得复杂,并减少了恶意内容以明文形式可见的时间窗口。
基于已安装防御设施的风险评估
该框架执行 对安全环境进行全面分析 在每台受感染的机器上,它会列出已安装的保护产品、内核加固技术和监控措施,并根据这些信息计算出一种风险评分,以此指导其行为。
如果检测到系统受到严密保护,VoidLink 可以 放慢某些活动的速度例如端口扫描或与C2服务器的通信,并选择噪声较小的技术。在风险较低的环境中,该框架可以更积极地运行,优先考虑速度而非绝对隐蔽性。
这种自动适应能力与既定目标相符: 尽可能实现规避任务的自动化使操作人员能够将更多时间用于确定目标,而减少手动调整每个特定环境的技术参数的时间。
VoidLink 的起源和项目归属
分析人员收集的证据表明: 据报道,VoidLink是由一个讲中文的团队开发的。Web 面板界面的位置、代码中的某些注释以及观察到的优化都指向这个方向,尽管像这类研究中常见的情况一样,这并不能作为最终的归因。
开发质量、多种现代语言的使用以及对现有网络框架的集成表明 具备丰富的编程经验和对操作系统复杂机制的深入了解所有这些都强化了这样一个观点:该项目不仅仅是一个孤立的实验,而是正在朝着一个可以长期维护的专业平台迈进。
与此同时,它们尚未被记录在案的事实 大规模主动感染运动 这支持了以下假设:该框架处于测试阶段,以非常严格的访问模式提供,或者仅用于高度有针对性的行动,因此很难在欧洲和其他地区被发现。
VoidLink的出现证实了这一点。 针对 Linux 和云环境的恶意软件的复杂程度正在迅速提高。它正逐渐接近成熟模型的水平,而这种模型此前主要见于Windows平台的攻击性工具。其模块化架构、对自动化规避的重视以及对凭证和容器的关注,使其成为任何拥有云基础设施的组织(无论是在西班牙还是在欧洲其他地区)都必须高度重视的威胁。
