VoidLink:為雲端設計的高階Linux惡意程式
資安業者Check Point Research近期揭露了一款名為VoidLink的高階Linux惡意程式框架。此框架專為現代雲端基礎設施設計,擁有高度模組化的架構以及卓越的隱蔽能力。
開發背景與技術特性
VoidLink是以現代系統程式語言Zig開發,這是一個完整的命令暨控制(C2)框架,包含客製化載入器、植入程式、Rootkit以及37個外掛模組。研究人員在2025年12月首次發現了VoidLink的樣本,推測其來自與中國有關的開發環境。
雲端優先設計
此惡意程式最大的特色在於其「雲端優先」的設計理念。VoidLink能夠自動辨識多個主流雲端服務供應商,包括AWS、Google Cloud、Azure、阿里雲及騰訊雲。同時,它也能檢測是否運行於Docker容器或Kubernetes叢集,並據此動態調整行為。
供應鏈攻擊潛力
VoidLink還會收集Git等版本控制系統的憑證資料,這暗示其潛在攻擊目標可能包括軟體工程師,並可能在未來發動供應鏈攻擊。
技術複雜度與防護機制
在技術上,VoidLink展示出驚人的複雜度。它配備多層次的Rootkit功能,能根據目標系統的核心版本自動選擇最適合的隱藏機制,並具適應性隱藏能力,會先掃描系統上安裝的安全監控機制,計算環境風險評分,再調整自身的行為策略。比如,在高風險環境中,它會刻意放慢連接埠掃描速度,以免觸發警報。
外掛程式與反分析技術
VoidLink的外掛程式系統可能受到知名滲透測試工具Cobalt Strike的啟發,提供偵察、憑證竊取、權限提升、橫向移動、容器逃逸等豐富的後滲透功能。研究人員總計發現37個預設外掛,這些外掛可在執行期間動態載入,顯著提升攻擊彈性。
在反分析方面,VoidLink部署了多重防護機制,包括執行期程式碼加密、自毀功能、反除錯技術,以及完整的日誌清理模組,旨在抹除命令歷程、登入紀錄與系統日誌,防止數位鑑識還原。
操作介面與未來觀察
VoidLink配有中文化的網頁管理介面,讓操作者可以透過儀表板控制受到感染的主機,管理代理程式,建置客製化植入程式,並部署各種外掛模組。不過,該架構仍在開發中,研究人員尚未觀察到真實世界的感染案例。根據其精緻的設計及完整的說明文件,推測這是一款商業用途產品,或是針對特定客戶所開發的專案。