關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 資訊安全
顯示分類
2026.01.14
事件與威脅/資訊安全
新的 VoidLink 惡意軟體框架針對 Linux 雲端伺服器
雲端原生威脅的新紀元

隨著企業數位轉型的加速,雲端基礎設施已成為攻擊者的首要目標。一種名為 VoidLink 的新型高階雲端原生 Linux 惡意軟體框架專注於雲端環境,為攻擊者提供專為現代基礎架構設計的自訂載入器、植入程式、rootkit 和外掛程式。VoidLink 使用 Zig、Go 和 C 編寫,其程式碼顯示該專案正在積極開發中,並附有大量文檔,很可能是用於商業用途。這種多語言並行的開發模式,不僅賦予了惡意軟體極高的執行效率,更增加了靜態分析與特徵碼比對的難度。VoidLink 的出現標誌著 Linux 平台惡意軟體已從早期的簡單腳本與殭屍網路,進化為具備商業軟體水準的精密攻擊平台。


環境感知與雲端實例枚舉機制

VoidLink 的核心優勢在於其對目標環境的深度感知能力。一旦植入程式被激活,它會檢查自身是否在 Docker 或 Kubernetes 中運行,並查詢 AWS、GCP、Azure、阿里雲和騰訊等雲端服務供應商的雲端實例元數據,併計劃添加華為、DigitalOcean 和 Vultr。這種主動偵測能力使攻擊者能夠迅速定位受害伺服器在雲端架構中的角色。

該框架收集系統詳細信息,例如核心版本、虛擬機器管理程式、進程和網路狀態,並掃描 EDR、核心加固和監控工具。所有資訊以及根據已安裝的安全解決方案和加固措施計算出的風險評分都會提供給運營商,使他們能夠調整模組行為,例如降低端口掃描速度和延長信標間隔。這種「基於風險的自動化策略」讓 VoidLink 能夠在安全防禦較強的環境中保持低調,而在防禦薄弱的環境中快速擴張。


VoidStream 自訂加密通訊層與隱蔽技術

在 command-and-control (C2) 通訊方面,VoidLink 展現了卓越的偽裝技術。植入體使用多種協定(HTTP、WebSocket、DNS隧道、ICMP)與操作員通信,這些協定封裝在一個名為「VoidStream」的自訂加密訊息層中,該層偽裝流量,使其看起來像正常的網路或API活動。這種封裝技術有效地避開了傳統入侵檢測系統 (IDS) 對於已知惡意流量模式的監測,並利用常見的雲端 API 流量特徵作為掩護,達成流量混淆的目的。


記憶體中載入與模組化插件體系

VoidLink 的架構設計高度模組化,其核心組件保持精簡,而具體功能則由外掛程式實現。VoidLink 的插件是直接載入到記憶體中的 ELF 物件文件,並透過系統呼叫呼叫框架 API。這種「無檔案」(Fileless)的執行方式意味着插件不會在磁碟上留下實體檔案,極大地增加了鑑識分析的難度。

根據 Check Point 的分析,目前版本的 VoidLink 在預設配置下使用了 35 個外掛程式:

  1. 偵察(系統、使用者、流程、網路)
  2. 雲和容器枚舉及轉義輔助函數
  3. 憑證竊取(SSH金鑰、Git憑證、令牌、API金鑰、瀏覽器資料)
  4. 橫向移動(shell、連接埠轉送與隧道、基於SSH的傳播)
  5. 持久化機制(動態連結器濫用、定時任務、系統服務)
  6. 反取證(日誌擦除、歷史記錄清理、時間篡改)

這些插件涵蓋了攻擊生命週期的每一個階段。從初步的環境偵察到高難度的容器轉義(Container Escape),再到橫向移動與持久化,VoidLink 幾乎能全自動地完成對受害環境的深度滲透與持續控制。


高級規避技術與反取證工程

Check Point 的研究人員表示,VoidLink 的開發以隱蔽性為核心,它透過在選擇最佳策略之前徹底分析目標環境來「盡可能地實現規避自動化」。這包括對 Linux 安全增強功能(如 SELinux、AppArmor)的避讓,以及針對特定 EDR(端點偵測與響應)工具的規避邏輯。

特別是在反取證方面,VoidLink 不僅能清除常規的系統日誌(如 syslog 或 wtmp),還能篡改檔案的時間戳(Timestomping),讓調查人員難以建立正確的事件時間線。其持久化機制則利用了 Linux 動態連結器的加載特性,這種方法比傳統的定時任務更難被發現,因為它隱藏在系統正常的函式庫加載過程之中。


技術總結與未來安全展望

VoidLink 的出現代表了針對 Linux 雲端環境攻擊技術的新高度。研究人員指出,新框架「比典型的 Linux 惡意軟體先進得多」,是由「技術水平很高」且精通多種程式語言的開發人員開發的。這類攻擊工具的商業化傾向,意味著未來可能會有更多組織面臨來自 VoidLink 或其衍生變種的威脅。

對於企業而言,單純依賴基於特徵碼的防禦已不足以應對 VoidLink。防禦策略必須轉向行為監測與零信任架構: 第一,加強對雲端實例元數據服務(IMDS)的訪問限制,防止惡意軟體輕易獲取雲端環境資訊。 第二,實施嚴格的進程監控與記憶體完整性校驗,以偵測非法載入的 ELF 物件。 第三,透過流量分析(NDR)辨識異常的長連接或偽裝成 API 呼叫的加密通訊。 第四,強化容器安全管理,封鎖已知的容器轉義路徑。

面對 VoidLink 這種具備高度自動化規避能力的惡意框架,主動威脅獵捕(Threat Hunting)與深層次的系統遙測數據分析將成為保障雲端基礎設施安全的關鍵核心。

註:
VoidLink 是一個模組化的 Linux 系統後滲透框架,它使駭客能夠在保持隱藏的同時控制受感染的機器,透過插件擴展功能,並根據特定的雲端和容器環境調整行為。

資料來源:https://www.bleepingcomputer.com/news/security/new-voidlink-malware-framework-targets-linux-cloud-servers/
 
分析名為 VoidLink 的新型高階 Linux 惡意軟體框架,該框架專為雲端環境設計,具備高度隱蔽性與模組化特徵,能自動偵測 Kubernetes、Docker 及各大雲端平台環境。