本月上旬資安公司Check Point揭露惡意程式框架VoidLink,駭客以現代系統程式語言Zig開發,具備完整的C2功能,並擁有惡意程式載入工具、部署工具、Rootkit等多達37個外掛模組,其最大特色在於能自動識別主要的雲端服務平臺,偵測是否在Docker容器或Kubernetes叢集環境執行,並根據環境動態調整行為,後續有其他資安公司解析其二進位檔案,公布該惡意程式極為不同的運作方式。
資安公司Sysdig指出,VoidLink最具突破性的特徵,在於採用了「伺服器端編譯Rootkit」機制。一般而言,傳統Linux核心模組Rootkit採用可載入核心模組(Loadable Kernel Modules,LKM),必須針對特定Linux核心版本編譯,才能正常載入及運作,因此,攻擊的範圍會局限在執行特定核心版本的Linux主機,而VoidLink的C2伺服器會根據受害主機回傳的核心版本與設定,即時編譯相容的核心Rootkit後再傳送到受害主機,大幅提高在不同環境中的成功率與隱匿性。Sysdig將此技術稱為Serverside Rootkit Compilation(SRC),並指出VoidLink是第一個採用這種機制的Linux惡意程式。
除了透過C2直接編譯能在受害主機運作的VoidLink,更可怕的地方在於,VoidLink展現了對現代Linux技術的成熟應用。其中一個就是濫用extended Berkeley Packet Filter(eBPF)技術,隱密地從事網路監控及竊取資料。由於eBPF能在不更動核心原始碼的情況,在核心執行Rootkit程式,使得VoidLink能在網路堆疊的最底層監聽流量,從而規避應用層的防火牆或監控工具。這種將雲端原生診斷工具轉化為網路間諜工具的手法,突顯開發者對系統底層架構的深刻理解。
VoidLink的感染流程採用多階段設計,攻擊鏈是由Zig語言編譯、檔案極小的ELF執行檔開始,該程式在執行後會透過分叉(fork)產生子處理程序,並將自身處理程序的名稱偽裝成常見的核心工作執行緒,以降低被管理者察覺的風險。隨後,它會連線至遠端C2下載後續模組,並利用memfd_create與execveat等機制,完全在記憶體中執行惡意程式碼,避免在磁碟上留下檔案痕跡。
在第二階段,VoidLink會載入功能更完整的工具,支援HTTP Range下載,能夠分段取得大型惡意模組,進一步降低網路行為異常的可見度。整個過程幾乎不依賴傳統檔案落地方式,使靜態掃描與事後鑑識變得更加困難。
VoidLink同時具備高度自適應的偵測與迴避能力。它會主動檢查系統中是否存在EDR、容器安全工具,或行為監控機制,並依據結果調整通訊頻率與行為模式。此外,惡意程式也會嘗試偵測除錯器與動態分析工具,避免在研究環境中暴露完整功能。
在核心層級,VoidLink可依據目標系統的Linux版本,選擇不同的Rootkit部署方式。對於較新版本的核心,攻擊者可能透過eBPF方式注入惡意邏輯;在較舊環境中,則使用傳統LKM方式載入核心模組。該Rootkit能夠隱藏自身在/proc/modules與/sys/module中的紀錄,並攔截特定系統呼叫,以達成隱藏處理程序、檔案,以及網路連線的目的。
在控制通道方面,VoidLink不僅透過標準C2連線下達指令,還支援隱蔽的ICMP通訊通道。攻擊者可將命令封裝於特殊識別碼的ICMP封包中,藉此繞過部分防火牆與流量監控機制,進一步提高隱匿性。這些ICMP指令不僅可用於管理特定的規則,還具備自我銷毀多種作案痕跡的能力,這些包括停用LKM及清除所有的PID、連接埠、檔案前綴,並抹除事件記錄與Shell歷史記錄,以及清除VoidLink相關元件等。
儘管VoidLink設計先進,Sysdig仍強調其行為在執行階段具備可偵測特徵。例如記憶體中直接執行ELF檔案、異常的核心模組載入行為、eBPF程式注入,以及不尋常的ICMP流量。Sysdig建議組織強化核心層與容器層的行為監控,而非僅依賴傳統防毒或靜態掃描機制。
附帶一提,Sysdig提到駭客利用AI及大型語言模型開發的跡象。他們看到駭客不僅使用簡體中文從事開發,核心原始碼隨處可見簡體中文註解,研判駭客使用了大型語言模型生成相關範本。
熱門新聞
2026-01-27
2026-01-27
2026-01-26
2026-01-27
2026-01-28
2026-01-27