Meet hívás és az Üzleti email: info@blackpanther.hu
Keres

VoidLink – A felhőalapú környezetek új, rejtőzködő fenyegetése

blackPanther Projekt Biztonság VoidLink – A felhőalapú környezetek új, rejtőzködő fenyegetése

Biztonság

VoidLink – A felhőalapú környezetek új, rejtőzködő fenyegetése

Szerző: Adminisztrátor

Míg a hagyományos malware-támadások többsége továbbra is a Windows platformra összpontosít, egyre több fenyegetés célozza meg a Linux-alapú rendszereket – különösen azokat, amelyek kulcsfontosságú szerepet töltenek be a modern fejlesztői és üzemeltetői folyamatokban. 2025 végén a VoidLink, egy kifinomult, Zig nyelven írt, felhőorientált Linux-malware keretrendszer, amelyet a Check Point Research azonosított és elemezett részletesen.

A VoidLink nem csupán egy újabb kártevő: egy teljes értékű, moduláris parancs-és-irányítási (C2) keretrendszer, amely képes alkalmazkodni a környezetéhez, észlelni a felhőszolgáltatót (AWS, Azure, GCP, Alibaba stb.), konténerekben és Kubernetes-fürtökben rejtőzni, valamint dinamikusan testreszabni a viselkedését a jelen lévő biztonsági eszközök alapján. A keretrendszer gyökérkészletekből, adaptív rejtőzési technikákból, plugin-alapú bővíthetőségből és akár mesh-alapú C2-kommunikációból is építkezik – mindezt úgy, hogy eddig még nem sikerült igazi, aktív támadásokat kötni hozzá.

Működési mechanizmus: Felhőorientált, adaptív és moduláris

A VoidLink egy kétlépcsős telepítési folyamaton keresztül jut be a célrendszerbe. Az első lépés egy minimális betöltő (loader), amely letölti a teljes implantot – ezt követően az implant maga több alapvető modult tartalmaz, de további funkciókat pluginek formájában tölthet le futás közben. Ezek a pluginek ELF objektumfájlok, amelyek memóriában töltődnek be, így elkerülik a fájlrendszer alapú detektálást.

A keretrendszer Zig programozási nyelven készült, ami ritka választás a malware-fejlesztés világában, de lehetővé teszi a kód hatékony, alacsony szintű optimalizálását anélkül, hogy a C nyelv tipikus memóriakezelési sebezhetőségeibe ütközne. Emellett a Zig natív támogatást nyújt a syscall-ok közvetlen használatához, így a VoidLink kerüli a libc réteget, ami segít elkerülni a hook-alapú EDR/AV detektálást.

Felhőfelismerés és környezeti adaptáció

A VoidLink elsődleges célja a felhőalapú környezetek meghódítása. Indításkor automatikusan azonosítja, hogy melyik felhőszolgáltatón (AWS, Azure, GCP, Alibaba Cloud, Tencent stb.) fut, és lekérdezi a metaadat-végpontokat példányazonosítók, IAM-szerepkörök vagy ideiglenes hitelesítő adatok kinyerésére. Ezen túlmenően képes felismerni, ha Docker konténerben vagy Kubernetes podban fut – ez utóbbi esetben speciális pluginek aktiválódnak a pod escape-re vagy a fürt belső feltérképezésére.

Adaptív rejtőzés és kockázatalapú működés

A VoidLink egyik legmeghatározóbb jellemzője az adaptív rejtőzés. A rendszerindításkor felderíti a jelenlévő biztonsági eszközöket (pl. CrowdStrike, SentinelOne, Sysmon Linux változatai), majd ezek alapján kiszámít egy kockázati pontszámot. Ez alapján dönt arról, hogy milyen agresszív legyen a tevékenysége: például egy magas kockázatú környezetben lassítja a portscannelést, kerüli a zajos syscall-okat, vagy inkább DNS/ICMP-alapú C2-csatornát használ a hagyományos HTTP helyett.

A keretrendszer emellett gépi tanulásszerű viselkedési profilozást is végez: figyeli a CPU-használatot, hálózati forgalmat, aktív órákat, és ennek megfelelően időzíti a C2-kommunikációt – például csak munkaidőn kívül küld adatot, vagy akkor, amikor a gép „alvó” állapotban van.

Gyökérkészletek és kernel-szintű rejtőzés

A VoidLink többféle rootkit-technikát is támogat, attól függően, hogy milyen kernel-verzió fut a célgépen:

  • LD_PRELOAD-alapú hookolás dinamikus könyvtárak elfogására
  • Loadable Kernel Module (LKM) használata régebbi kernel-ek esetén
  • eBPF-programok modern, lock-downolt rendszereken, ahol a kernel modulok tiltva vannak

Ezekkel a technikákkal a VoidLink el tudja rejteni saját folyamatait, fájljait, hálózati kapcsolatait – sőt, még a rootkit-moduljait is.

Parancs-és-irányítási (C2) rendszer és pluginek

A VoidLink egy webes C2-irányítópulttal is rendelkezik, amely kínai nyelvű, de struktúrájában hasonlít a Cobalt Strike-hoz. Három fő menüpontból áll: Dashboard, Attack, és Infrastructure. A kezelőfelület lehetővé teszi:

  • Új implant generálását testreszabott beállításokkal (heartbeat idő, protokollválasztás, stealth szint)
  • Pluginek telepítését vagy eltávolítását
  • Interaktív terminál-hozzáférést
  • Adatok törlését, naplók manipulálását, időbélyegek hamisítását

Jelenleg 37 plugin áll rendelkezésre, amelyek kategóriákba sorolhatók:

  • Reconnaissance: rendszerinformációk, hálózati topológia, felhasználók, mount pointok
  • Cloud & Containers: Kubernetes enumeráció, Docker escape, pod privilege escalation
  • Credential Harvesting: SSH-kulcsok, git hitelesítő adatok, böngésző cookie-k, környezeti változókban tárolt API-kulcsok
  • Lateral Movement: SSH-alapú worm, port forwarding, tunneling
  • Persistence: systemd szolgáltatások, cron jobok, LD_PRELOAD hookolás
  • Anti-Forensics: naplók törlése, history manipuláció, timestomping

Ezek a pluginek lehetővé teszik, hogy a VoidLink ne csak egy passzív kémprogram legyen, hanem egy teljes körű post-exploitation keretrendszer, amely alkalmas ellátási lánc (supply chain) támadásokra is – különösen akkor, ha fejlesztői gépeket fertőz meg.

Kockázatok 

Bár a VoidLink jelenleg nem mutatja jeleit aktív támadásoknak, fejlettsége és célzottsága miatt komoly fenyegetést jelent:

  1. Fejlesztői és DevOps környezetek veszélyeztetése: a Git-hitelesítő adatok, SSH-kulcsok és CI/CD pipeline-ok kiszivárogtatása lehetővé teheti, hogy a támadók ellátási lánc-támadásokat hajtsanak végre.
  2. Felhőalapú erőforrások jogosulatlan elérése: az AWS/Azure/GCP metaadat-lekérdezések révén a támadók IAM-jogosultságokat szerezhetnek, amelyekkel teljes felhőfiókokat vehetnek át.
  3. Kubernetes-fürtök kompromittálása: a pod escape és fürtbeli mozgás lehetővé teszi a teljes infrastruktúra ellenőrzését.
  4. Hosszú távú, észrevétlen jelenlét: az adaptív rejtőzés és a kernel-szintű gyökérkészletek miatt a VoidLink hónapokig is rejtőzhet egy rendszerben anélkül, hogy detektálnák.

A fejlesztők valószínűleg kínai affinitású környezetből származnak (a debug szimbólumok és a lokalizált C2-pult alapján), és a keretrendszer kereskedelmi célra is készülhet – akár legális penteszt-eszközként, akár illegális underground-termékként.

A fertőzött gépek mint kiberfegyverek: támadó infrastruktúra élőben

A VoidLink egyik legaggasztóbb vonása, hogy a kompromittált hosztok nemcsak passzív megfigyelési pontokként működnek, hanem aktív támadó eszközökké válhatnak. A keretrendszer támogatja a mesh-alapú (P2P) C2-kommunikációt, ami azt jelenti, hogy a fertőzött gépek egymással is kommunikálhatnak, akár internetkapcsolat nélkül is – így akár belső hálózati botnetet hozhatnak létre. Ez lehetővé teszi, hogy egyetlen kezdeti belépési pontból kiindulva a támadók teljes belső infrastruktúrát lefedjenek anélkül, hogy további külső C2-kapcsolatokra lenne szükségük.

Ezen túlmenően a VoidLink pluginei között szerepel egy SSH-alapú worm, amely automatikusan terjed a belső hálózaton, valamint port forwarding és tunneling modulok, amelyekkel a támadók proxyként használhatják a fertőzött gépeket más rendszerek eléréséhez. Ezek a funkciók együttesen lehetővé teszik, hogy a VoidLink által irányított gépek élő kiberfegyverként működjenek – például:

  • DDoS-támadások indítására (ha a támadó bővíti a plugin-készletet ilyen irányban),
  • zero-day exploitok futtatására más belső célpontok ellen,
  • adatromboló (wiper) műveletek végrehajtására, amint azt a „Wipe Evidence” panel is sejteti,
  • vagy akár ellenséges kiberhadviselés részeként stratégiai infrastruktúrák (pl. energiaipari, logisztikai, kormányzati cloud-környezetek) destabilizálására.

Mivel a VoidLink már most is támogatja a kernel-szintű rejtőzést, a memóriabeli kódvégrehajtást és a bizonyítékok automatikus törlését, ezek a gépek ideális platformot nyújthatnak nem attribuálható, állami szintű kiberhadműveletekhez is. A kínai nyelvű C2-pult és a fejlesztési környezet nyomai pedig arra utalnak, hogy a keretrendszer mögött szervezett, erőforrásokkal rendelkező aktor állhat – akár egy nemzetbiztonsági szolgálat, akár egy olyan magánvállalkozás, amely kiberfegyvereket fejleszt kormányzati ügyfeleknek.

Ezért a VoidLink nem csupán egy újabb Linux-malware – hanem egy moduláris kiberhadászati platform, amely a jövőben akár stratégiai jelentőségű támadások gerincét is képezheti.

Védekezési javaslatok

A VoidLink típusú fenyelegések elleni védekezéshez a következő intézkedéseket javasoljuk:

  1. Minimális jogosultság elve (least privilege):
    • Ne használjon root vagy adminisztrátori jogosultságokat fejlesztői vagy CI/CD gépeken.
    • Korlátozza a podok és konténerek hozzáférését a Kubernetes RBAC segítségével.
  2. Metaadat-végpontok védelme:
    • AWS IMDSv2, Azure Instance Metadata Service token-alapú hitelesítés használata.
    • Hálózati szabályokkal korlátozza a metaadat-végpontok elérését csak megbízható folyamatokra.
  3. Kernel és runtime integritásvédelem:
    • Használjon kernel integrity checking eszközöket (pl. Linux Kernel Lockdown, SELinux, AppArmor).
    • Figyelje a gyanús eBPF programokat vagy LKM betöltéseket.
  4. EDR/AV megoldások frissítése Linuxra:
    • Olyan endpoint-védelmet válasszon, amely támogatja a Linuxot, a konténereket és a felhőalapú telemetriát (pl. Check Point Harmony Endpoint, CrowdStrike Falcon for Linux).
  5. Naplózás és anomáliadetektálás:
    • Központosított SIEM-be integrálja a Kubernetes-, Docker- és cloud auditnaplókat.
    • Keress olyan jeleket, mint: ritka syscall-ok (pl. ptrace, memfd_create), ismeretlen ELF objektumok memóriában, vagy DNS/ICMP-alapú exfiltráció.
  6. Fejlesztői gépek elkülönítése:
    • A fejlesztői munkaállomásokat különítsük el a termelési hálózattól, és tiltsuk le rajtuk a nem szükséges cloud CLI-eszközöket.

Összegzés

A VoidLink egy nagyon komoly példa arra, hogyan változik a kiberfenyegetési táj: a támadók egyre inkább a felhőt, a konténereket és a fejlesztői eszközöket célozzák meg, ahol a védelem gyakran hiányos vagy reaktív. Bár jelenleg még nem aktív, a keretrendszer fejlettsége és rugalmassága azt sugallja, hogy hamarosan valós kockázattá válhat – különösen olyan szervezetek számára, amelyek nem veszik komolyan a Linux és a felhőalapú biztonságot.

A proaktív védelem, a környezetek szegmentálása és a modern EDR-megoldások bevezetése kulcsfontosságú ahhoz, hogy a szervezetek ne váljanak a VoidLink következő áldozataivá.

A világon egyedülálló módon a blackPanther Projekt kínál ilyen interaktív eszközt teljesen ingyen!

RaaS Sentinel a ransomware őrszem – Linux/Windows

Besorolva mint , , , , ,

Hozzászólások lezárva

Megújult márkaoldalunk a Facebook-on! Hírekkel, értesítésekkel, különlegességekkel..

Látogatás oda

Ez a projekt magántulajdon. A tulajdonos minden jogot fenntart. Nem része egyetlen szervezetnek, vállalatnak sem.


22.1 adat-biztonság Alternatíva alternatív operációs rendszer alternatív rendszer biztonság Biztonság blackPanther blackPanther-projekt blackPanther OS blackPanther OS v18.1 Cikkek digitalis kompetencia digitális jólét diszkrimináció Egyéb Fekete tükör GVH hacker informatika oktatás IT biztonság kiberbiztonság korrupció Korrupció kémkedés közlemények közoktatás Linux linuxos téveszmék Magyar Kormány magyar oktatás malware Microsoft Microsoft függőség nemzetbiztonság nyílt levél Oktatás oktatás Sajtóhír téveszmék v18.1 vírus Windows Windows helyett Általános

Error: Please enter a valid email address

Error: Invalid email

Error: Please enter your first name

Error: Please enter your last name

Error: Please enter a username

Error: Please enter a password

Error: Please confirm your password

Error: Password and password confirmation do not match