【精選威脅情資】VoidLink：針對雲端原生環境的新型 Linux 模組化威脅框架

‍

危害與影響

在 2025 年 12 月，Check Point 研究團隊識別出一組全新的 Linux 惡意軟體樣本，包含數個開發中的惡意軟體，以及一個惡意軟體框架，研究員根據其原始開發者將其命名為VoidLink。這是專門針對現代雲端環境的惡意軟體框架，採用 Zig（一種靜態的通用程式語言）編寫而成。從樣本變化的速度與多樣性來看，該框架正處於快速更新階段，旨在投入更廣泛的實戰部署。

‍

分析師觀點

VoidLink 能在目標系統中維持長期、隱蔽的雲端基礎設施存取權限，而非僅針對單一端點，由此可見攻擊者的重心已轉變：從傳統的 Windows 系統轉向支援雲端服務與關鍵業務運作的 Linux 環境。對依賴雲端的企業、政府機構及公共服務而言，VoidLink 影響更鉅。在技術精湛的攻擊者手中，此框架能將雲端基礎設施轉為攻擊面。藉由利用雲端環境中常見的可視化漏洞與不一致的安全假設，受害者可能在完全不知情的狀況下，被攻擊者控制整個基礎設施。

‍

描述

VoidLink 源自具中國背景的開發環境，主要針對雲端環境，同時也蒐集原始碼管理程式（如 Git）的相關資料，代表軟體工程師也是潛在目標。透過掌握工程師的開發權限，攻擊者便能獲取底層原始碼的存取權，進而在開發或部署階段植入後門。從「源頭」進行滲透的手法，是供應鏈攻擊的特徵之一，顯示攻擊者可能對間諜活動或供應鏈攻擊具有濃厚興趣。

VoidLink 具備許多與一般 Linux 惡意軟體截然不同的強大功能：

• 隱身與持久化：包含 Rootkit 等級的技術，例如 LD_PRELOAD、Linux 核心模組（LKM）以及 eBPF。
• 可擴充性：具備記憶體內（In-memory）擴充功能系統，可隨時擴展其功能。
• 適應性防禦：能根據偵測到的資安產品自動調整執行時的規避策略（Runtime evasion）。
• 多樣化指令控制（C2）頻道： 支援透過 HTTP/HTTPS、ICMP 以及 DNS 隧道（Tunneling）進行通訊。
• 點對點網路： 可在受感染的主機之間建立 P2P/Mesh（網狀）通訊架構。

VoidLink 能夠識別主流雲端環境，並偵測自身是否運行於 Kubernetes 或 Docker 容器內，隨之優化其行為模式，讓偵測與清除變得極為困難。此外，該框架會蒐集與雲端環境及原始碼版本控制系統（如 Git）相關的憑證，印證其針對開發人員的攻擊導向。此類攻擊的最終目的通常不是短期破壞，而是為了長期監測、情報蒐集與大規模資料竊取，對金融、製造及政府等關鍵產業的資安防禦體系造成嚴峻挑戰。

‍

技術分析

VoidLink 是一款雲端原生的 Linux 惡意軟體框架，由模組化植入程式與開發者生態系統（包含指令與控制 C2 伺服器、Web 控制面板、擴充功能）組成。本研究著重 VoidLink 框架功能與設計細節，而非已證實的真實入侵鏈，分析 VoidLink 在受害主機上的行為及該架構如何執行這些行動。樣本則揭露了完整的攻擊生命週期：透過兩階段載入器（Two-stage loader）建立植入程式「核心」，接著對雲端環境、容器與資安工具進行偵察，根據需求以記憶體內擴充功能（In-memory plugins）的形式載入額外功能。

此框架特色包括：可針對目標環境的 EDR 部署與系統安全配置，自動轉化行為模式的適應性隱身（Adaptive Stealth）、利用 LKM/eBPF/LD_PRELOAD 的核心層級隱蔽技術（Kernel-level concealment），以及支援 HTTP(S)、WebSocket、DNS、ICMP，並規劃 Mesh/P2P 網路的靈活通訊機制。

執行 (Execution)

1. 兩階段載入器與核心執行環境

VoidLink 將植入過程拆解成兩階段：

• 階段 0 / 階段 1 載入器：負責引導執行並部署或啟動最終的植入程式。
• 最終植入程式：包含嵌入式核心模組（負責穩定性、狀態管理、任務分配、通訊），高階功能則在稍後以擴充功能形式獲取。
• 核心職責：維持全域狀態與植入程式穩定性、處理通訊與任務執行、初始化擴充功能使用的開發或導出 API。

2. 記憶體內擴充功能執行

VoidLink 借鏡 Cobalt Strike 的 BeaconObject Files (BOF) 設計概念，將擴充功能封裝為 ELF 物件檔案，在運行期間直接加載於記憶體中。這種設計避免了在硬碟留下實體二進位檔案，且能隨時替換攻擊套件而不必更改主程式，大幅提升隱蔽性與彈性。

3. 直接系統呼叫 (Direct Syscall) 執行模式

擴充功能 API 採用直接系統呼叫（Direct Syscalls）設計，旨在繞過 libc 層級的 hooks。此舉能有效規避依賴使用者空間監測點的資安工具，大幅降低攻擊行為的可見性。

持續性 (Persistence）

VoidLink 提供多種持久性手法，攻擊者可根據環境偵查結果，彈性挑選特定的擴充功能：

• Systemd 服務持久性 (systemd_persist_v3.o)：建立或修改服務定義，使植入程式在開機時自動啟動。
• 基於 Cron 的持久性(cron_persist_v3.o)：安裝或更改 Cron 任務，定期重新啟動惡意軟體。
• 動態連結器濫用 (ld_preload_v3.o)：利用 LD_PRELOAD 機制，確保目標程序啟動時載入惡意代碼，是典型的 LinuxRootkit 模式。

權限提升 (Privilege Escalation)

VoidLink 特別針對容器化環境，設計了專門用於提升權限的模組：

• 容器/Kubernetes 提權輔助：
  
  • k8s_privesc_v3.o.b：尋找 K8s 語境下的提權路徑（如配置錯誤、權限過大的服務帳戶、逃逸機會等）。
  • docker_escape_v3.o：檢查或嘗試已知的 Docker 逃逸技術，並回傳結果。
• 本地漏洞利用模組：
  
  • exploit_dirty_pipe_v3.o：嘗試實現 Dirty Pipe 漏洞利用，但分析指出其編譯方式在該樣本中無法運作。但這依然顯示了攻擊者整合本地提權漏洞的意圖。

防禦規避 (Defense Evasion）

防禦規避在此案例中不僅只是一個攻擊手法，VoidLink 所採用的「適應性隱身」，是貫穿此框架的底層運作邏輯。

• 環境感知型風險評估：啟動時會列舉已安裝的 Linux EDR、核心加固技術及防禦措施，計算風險評分並影響後續行為。例如：在高風險環境中，連接埠掃描會變得極緩慢以減少被偵測的機會。
• 核心層級隱蔽：根據核心版本選擇部署 LKM Rootkit 或 eBPF hooks（適用於較新、較易鎖定的系統），藉此隱藏程序、檔案、網路通訊與Rootkit 模組本身。
• 網路流量偽裝：透過 HTTP 偽裝層使連線看起來合法，資料外傳可偽裝成 PNG 圖像塊、標準 Web 內容（JS/CSS/HTML）或 API 流量模式。
• 反分析與篡改回應：偵測除錯器、執行完整性檢查。支援自動修改代碼（僅在執行時解密代碼區塊，閒置時重新加密），若偵測到分析行為，就會觸發自動刪除。

憑證存取 (Credential Access)

VoidLink 擁有一套針對 Linux 伺服器、雲端工作負載與開發人員端點的完整憑證竊取工具箱：

• SSH 密鑰獲取：收集私鑰與 SSH 配置以便二次利用。
• 在地帳戶與密碼：讀取密碼資料庫獲取雜湊，或透過 mimipenguin_lite 檢查執行中的程序參數以提取密碼或Token。
• 瀏覽器與金鑰環：針對 Chrome/Firefox 竊取憑證與 Cookie，並提取系統金鑰環（Keyring）中的秘密。
• 環境變數獲取：搜尋 API 金鑰與存取 Token，這在透過環境變數注入秘密的雲端或容器環境中尤為致命。

探索 (Discovery)  

• 雲端環境偵察：偵測 AWS、GCP、Azure、Alibaba、Tencent，並利用供應商的 Metadata API 收集雲端特有的脈絡資訊，如：身分、實例屬性等。
• 容器編排偵察：識別是否在 Docker 或 K8s Pod 中運行，並列舉可存取的 Namespace 與資源。
• 網路與服務掃描：映射網路拓樸、掃描連接埠並獲取服務 Banner。

命令與控制 (Command and Control）

VoidLink 的 C2 設計兼顧了韌性與易用性：

• Web 控制面板：提供中文介面，管理 Agent、內建終端機與植入程式生成器。
• VoidStream 協議：開發者定義的一層協議，負責所有傳輸協議（HTTP/1.1、HTTP/2、WebSocket、DNS、ICMP）的加密與訊息解析。
• Mesh/P2P 網路：支援受感染主機互傳流量，這對無法直接連網的內部主機非常有效。

影響 (Impact)

目前尚未發現 VoidLink 有實質的破壞行動，現階段主要聚焦於「反鑑識」（Anti-forensics）與自我保護機制：

• 清理痕跡：清除 Shell 歷史紀錄、登入紀錄與系統日誌。
• 安全刪除：將檔案解除連結後重寫隨機數據，增加鑑識恢復的難度。
• 時間戳修改（Timestomping）：修改檔案時間戳以破壞調查時間軸。

‍

緩解措施

緩解 VoidLink 所帶來的威脅需要採取多層次防禦（Multi-layered approach），同步解決即時風險與長期弱點。本章節概述了組織可採取的具體措施，以降低感染可能性，並在發生感染時將影響降至最低。重點在於可實施於雲端與容器環境的防禦策略、技術控制及營運實務。

防禦措施

1. 強化監控與偵測

• 基於行為的偵測系統：部署監測異常行為模式的系統，例如非預期的網路流量、檔案修改或程序活動。這類系統有助於早期發現潛在感染。
• 持續性虛擬機器 (VM) 監測：持續監測虛擬機器是否存在受駭跡象，包括系統配置變更、非預期的軟體安裝以及未經授權的存取嘗試。
• 雲端原生監測：利用雲端原生監測解決方案來提升雲端環境的可視性，特別是 Kubernetes 叢集與容器工作負載，檢視可疑活動與非法存取。

2. 最小權限原則

• 存取控制：實施嚴格的存取控制以限制使用者與服務的權限。確保僅授予必要的權限，以降低潛在感染後造成的衝擊。
• 角色型存取控制 (RBAC)：使用 RBAC 根據使用者與服務的職責分配權限，有助於最小化潛在損害的範圍。

3. 定期稽核與修補程式管理

• 稽核虛擬化組件：定期稽核虛擬化組件以確保其安全且處於最新狀態，包括檢查已知漏洞並套用必要的修補程式。
• 修補程式管理：建立健全的修補程式管理系統，確保所有系統均已更新至最新的安全性修補程式，降低透過已知漏洞被利用的風險。

4. 憑證存取控制

• 多因素驗證 (MFA)：實施 MFA 為憑證存取增加額外安全層，增加攻擊者獲取未經授權存取的難度。
• 憑證更新：定期更新憑證（包括管理員與使用者憑證），以降低長期暴露的風險。

5. 針對自我刪除能力的應對

• 鑑識工具：使用強大的鑑識工具，以便在自動刪除時也能復原證據，包括分析系統日誌、網路流量和檔案系統變更的工具。
• 事件應變計畫 (IR Plan)：制定並維持事件應變計畫，以便快速處理偵測到的感染，包括隔離受影響系統、遏止威脅以及恢復正常營運的程序。

技術控制

1. 網路分段

• 隔離：進行網路分段，將關鍵系統與低安全區域隔離。這能降低橫向移動的風險並限制感染影響。
• 防火牆規則：實施嚴格的防火牆規則來控制進出流量，防止未經授權的存取並降低資料外洩風險。

2. 端點防護

• 防毒與反惡意軟體：部署具備防毒與反惡意軟體能力的端點防護解決方案，在惡意軟體造成重大損害前進行偵測與清除。
• 主機型入侵偵測系統 (HIDS)：使用 HIDS 監測並偵測端點上的可疑活動，即時識別並回應潛在感染。

3. 容器安全

• 映像檔掃描：實施映像檔掃描，以偵測並防止在容器環境中使用具漏洞或惡意的映像檔，可使用的工具包括 Clair、Trivy 或 AquaSecurity。
• 執行階段安全：使用執行階段安全工具來監控並保護容器化應用程式，建議使用工具如 Aqua Security、Falco 或 Twistlock。

4. 雲端供應商安全性

• 供應商提供的安全工具：善用雲端供應商提供的安全功能，例如 AWSSecurity Hub、Google Cloud Security Command Center 或 Azure Security Center。
• 雲端原生安全實務：實施雲端原生安全實務，例如使用 Kubernetes 安全政策、限制 Pod 之間的通訊，並強制執行網路政策。

營運實務

1. 資安意識培訓

• 員工培訓：定期為員工舉辦資安意識培訓活動，使其瞭解網路釣魚、社交工程及常見攻擊手法。
• 模擬攻擊：進行模擬攻擊以測試員工反應並找出改進空間，強化資安最佳做法。

2. 事件應變演練

• 演練：定期進行事件應變演練，測試應變計畫的有效性，確保團隊成員皆已準備好應對資安事件。
• 事後檢討：在事件發生後進行事後檢討，總結經驗教訓並優化事件應變流程。

3. 持續改進

• 回饋機制：建立回饋機制以持續改進資安實務，包括定期審查資安政策、程序與技術。
• 資安指標：追蹤資安指標以監控安全控制措施的有效性，確保資安在企業經營的優先順位中。

‍

參考資料

• 雲端惡意軟體框架 VoidLink 疑似以 AI 生成，具開發能力的駭客要求 AI 根據開發流程，打造近 9 萬行程式碼的複雜惡意程式
• Threat Advisory: VoidLink
• Unveiling VoidLink – A Stealthy, Cloud-Native Linux Malware Framework
• Security Check-in Quick Hits: Cisco Zero-Day Exploits, Fortinet SSO Attacks, AI Malware Emergence, Ingram Micro Ransomware, and Cloud Testing App Breaches
• China-linked threat actor targeted +70 orgs worldwide, SentinelOne warns