网络安全研究人员发现了一种新的隐秘 Linux 恶意软件,它利用一种非常规技术在受感染系统上实现持久性,并隐藏信用卡盗刷代码。
Aon 的 Stroz Friedberg 事件响应服务团队将这款恶意软件命名为 sedexp,认为它是一个有经济动机的威胁行为者所为。
研究人员 Zachary Reichert、Daniel Stein 和 Joshua Pivirotto 表示:"这种高级威胁自 2022 年开始活跃,它隐藏在众目睽睽之下,同时为攻击者提供反向 shell 功能和高级隐藏战术。
恶意行为者不断改进和完善他们的技术,并转而使用新技术来逃避检测,这并不奇怪。
sedexp 之所以值得关注,是因为它使用了 udev 规则来保持持久性。Udev 是设备文件系统(Device File System)的替代品,它提供了一种机制,可根据设备属性识别设备,并配置规则,以便在设备状态发生变化(即设备被插入或移除)时做出响应。
udev 规则文件中的每一行都至少有一个键值对,因此可以通过名称匹配设备,并在检测到各种设备事件时触发特定操作(例如,在连接外部硬盘时触发自动备份)。
SUSE Linux 在其文档中指出:"匹配规则可以指定设备节点的名称,添加指向该节点的符号链接,或运行指定程序作为事件处理的一部分。如果找不到匹配规则,则使用默认设备节点名称创建设备节点。“
sedexp的udev规则——ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"——是这样设置的:每当/dev/random(对应设备次要编号8)加载时,就会运行恶意软件,这通常发生在每次重启时。
sedexp 的 udev 规则--ACTION==“add”, ENV{MAJOR}==“1”, ENV{MINOR}==“8”, RUN+=“asedexpb run:+” --设置为每当加载 /dev/random(对应设备次要序号 8)时运行恶意软件,这通常发生在每次重启时。
换句话说,每次系统重启后都会执行 RUN 参数中指定的程序。
该恶意软件具有启动反向 shell 的功能,以方便远程访问被入侵的主机,还能修改内存,从 ls 或 find 等命令中隐藏任何包含 “sedexp ”字符串的文件。
Stroz Friedberg 表示,在它调查的案例中,该功能被用来隐藏 web shell 、更改 Apache 配置文件和 udev 规则本身。
研究人员说:"该恶意软件被用于在网络服务器上隐藏信用卡刮取代码,这表明该恶意软件的重点是经济收益。“sedexp 的发现表明,除了勒索软件之外,出于经济动机的威胁行为者的复杂性也在不断发展。
参考来源:
https://thehackernews.com/2024/08/new-linux-malware-sedexp-hides-credit.html