freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

新型 Linux 恶意软件 “sedexp ”利用 Udev 规则隐藏信用卡盗刷器
2024-08-26 11:56:49
所属地 上海

网络安全研究人员发现了一种新的隐秘 Linux 恶意软件,它利用一种非常规技术在受感染系统上实现持久性,并隐藏信用卡盗刷代码。

Aon 的 Stroz Friedberg 事件响应服务团队将这款恶意软件命名为 sedexp,认为它是一个有经济动机的威胁行为者所为。

研究人员 Zachary Reichert、Daniel Stein 和 Joshua Pivirotto 表示:"这种高级威胁自 2022 年开始活跃,它隐藏在众目睽睽之下,同时为攻击者提供反向 shell 功能和高级隐藏战术。

恶意行为者不断改进和完善他们的技术,并转而使用新技术来逃避检测,这并不奇怪。

sedexp 之所以值得关注,是因为它使用了 udev 规则来保持持久性。Udev 是设备文件系统(Device File System)的替代品,它提供了一种机制,可根据设备属性识别设备,并配置规则,以便在设备状态发生变化(即设备被插入或移除)时做出响应。

udev 规则文件中的每一行都至少有一个键值对,因此可以通过名称匹配设备,并在检测到各种设备事件时触发特定操作(例如,在连接外部硬盘时触发自动备份)。

SUSE Linux 在其文档中指出:"匹配规则可以指定设备节点的名称,添加指向该节点的符号链接,或运行指定程序作为事件处理的一部分。如果找不到匹配规则,则使用默认设备节点名称创建设备节点。“

sedexp的udev规则——ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"——是这样设置的:每当/dev/random(对应设备次要编号8)加载时,就会运行恶意软件,这通常发生在每次重启时。

sedexp 的 udev 规则--ACTION==“add”, ENV{MAJOR}==“1”, ENV{MINOR}==“8”, RUN+=“asedexpb run:+” --设置为每当加载 /dev/random(对应设备次要序号 8)时运行恶意软件,这通常发生在每次重启时。

换句话说,每次系统重启后都会执行 RUN 参数中指定的程序。

该恶意软件具有启动反向 shell 的功能,以方便远程访问被入侵的主机,还能修改内存,从 ls 或 find 等命令中隐藏任何包含 “sedexp ”字符串的文件。

Stroz Friedberg 表示,在它调查的案例中,该功能被用来隐藏 web shell 、更改 Apache 配置文件和 udev 规则本身。

研究人员说:"该恶意软件被用于在网络服务器上隐藏信用卡刮取代码,这表明该恶意软件的重点是经济收益。“sedexp 的发现表明,除了勒索软件之外,出于经济动机的威胁行为者的复杂性也在不断发展。

参考来源:

https://thehackernews.com/2024/08/new-linux-malware-sedexp-hides-credit.html

# webshell # 恶意软件 # 信用卡盗刷
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者