Ένα νέο Linux malware με το όνομα “sedexp” αξιοποιείται σε επιθέσεις και έχει καταφέρει να αποφύγει τον εντοπισμό από το 2022, χρησιμοποιώντας μια ιδιαίτερη τεχνική persistence.
Το κακόβουλο λογισμικό ανακαλύφθηκε από την εταιρεία Stroz Friedberg και επιτρέπει στους χειριστές του να δημιουργήσουν reverse shells για απομακρυσμένη πρόσβαση και πραγματοποίηση περαιτέρω κακόβουλων ενεργειών.
Οι ερευνητές παρατήρησαν ότι αυτή η τεχνική persistence που χρησιμοποιείται (udev rules) δεν έχει ακόμα τεκμηριωθεί από το MITRE ATT&CK, κάτι που δείχνει ότι το sedexp malware είναι μια προηγμένη απειλή που κρύβεται σε απλή τοποθεσία.
Δείτε επίσης: Cthulhu Stealer: Νέο info-stealer malware στοχεύει MacOS
OpenAI o1: Ανακαλύπτοντας τις ικανότητες του AI μοντέλου
Persistence μέσω udev rules
Το ‘udev’ είναι ένα σύστημα διαχείρισης συσκευών για τον πυρήνα Linux, που είναι υπεύθυνο για το χειρισμό των κόμβων συσκευών στον κατάλογο /dev, ο οποίος περιέχει αρχεία για στοιχεία hardware που είναι διαθέσιμα στο σύστημα (π.χ. μονάδες αποθήκευσης, διεπαφές δικτύου και μονάδες USB).
Τα αρχεία κόμβων δημιουργούνται και αφαιρούνται όταν ο χρήστης συνδέει/αποσυνδέει συσκευές, ενώ το udev χειρίζεται και τη φόρτωση κατάλληλων προγραμμάτων drivers.
Τα Udev rules είναι configuration files κειμένου που υπαγορεύουν τον τρόπο με τον οποίο ο διαχειριστής πρέπει να χειρίζεται ορισμένες συσκευές ή συμβάντα, που βρίσκονται στο ‘/etc/udev/rules.d/’ ή στο ‘/lib/udev/rules.d/.’ Αυτοί οι κανόνες περιέχουν τρεις παραμέτρους που καθορίζουν τη δυνατότητα εφαρμογής του (ACTION== “add”), το όνομα της συσκευής (KERNEL== “sdb1″) και το script που θα εκτελεστεί όταν πληρούνται οι καθορισμένες συνθήκες (RUN+=”/path/to/ script”).
Το Linux malware sedexp προσθέτει το παρακάτω udev rule σε παραβιασμένα συστήματα:
ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+”
Αυτός ο κανόνας ενεργοποιείται κάθε φορά που προστίθεται μια νέα συσκευή στο σύστημα. Ελέγχει εάν οι κύριοι και δευτερεύοντες αριθμοί της ταιριάζουν με το ‘/dev/random’, το οποίο φορτώνεται κατά την εκκίνηση του συστήματος και χρησιμοποιείται ως “γεννήτρια” τυχαίων αριθμών από πολλές εφαρμογές και διαδικασίες συστήματος.
Δείτε επίσης: NGate: Νέο Android malware βοηθά hackers να κλέψουν χρήματα
Το τελικό rule component (RUN+= “asedexpb run:+”) εκτελεί το script του sedexp malware, “asedexpb”. Ορίζοντας το /dev/random ως προϋπόθεση, οι εισβολείς διασφαλίζουν ότι το κακόβουλο λογισμικό εκτελείται συχνά. Το /dev/random είναι ένα βασικό στοιχείο συστήματος στο Linux που οι λύσεις ασφαλείας δεν παρακολουθούν. Επομένως, με την κατάχρησή του, το malware καταφέρνει να αποφεύγει τον εντοπισμό για δύο χρόνια τουλάχιστον.
Λειτουργικές δυνατότητες
Με τη διαδικασία «kdevtmpfs», το Linux malware sedexp μιμείται μια νόμιμη διαδικασία συστήματος, συνδυάζεται περαιτέρω με κανονικές δραστηριότητες και καθιστά δυσκολότερο τον εντοπισμό με τη χρήση συμβατικών μεθόδων.
Όσον αφορά τις λειτουργικές του δυνατότητες, το κακόβουλο λογισμικό χρησιμοποιεί είτε forkpty είτε pipes και μια νέα διαδικασία για να δημιουργήσει ένα reverse shell ώστε να μπορεί ο εισβολέας να αποκτήσει απομακρυσμένη πρόσβαση στη μολυσμένη συσκευή.
Το Sedexp χρησιμοποιεί επίσης τεχνικές χειρισμού μνήμης για την απόκρυψη οποιουδήποτε αρχείου που περιέχει τη συμβολοσειρά “sedexp”, αποκρύπτοντας τελικά την παρουσία του στο σύστημα.
Μπορεί επίσης να τροποποιήσει τα περιεχόμενα της μνήμης για να εισάγει κακόβουλο κώδικα ή να αλλάξει τη συμπεριφορά των υπαρχουσών εφαρμογών και διαδικασιών του συστήματος.
Δείτε επίσης: TodoSwift: Νέο macOS malware – Συνδέεται με Βορειοκορεάτες hackers;
Προστασία από Linux malware
Η προστασία από Linux malware, όπως το Sedexp, περιλαμβάνει πολλές βέλτιστες πρακτικές για τη διασφάλιση της ακεραιότητας και της ασφάλειας του συστήματος. Πρώτα και κύρια, η τακτική ενημέρωση του λειτουργικού συστήματος και του εγκατεστημένου λογισμικού μπορεί να επιδιορθώσει ευπάθειες που ενδέχεται να χρησιμοποιήσει ένα κακόβουλο λογισμικό. Επιπλέον, η χρήση μιας ισχυρής διαμόρφωσης firewall βοηθά στην παρακολούθηση και τον έλεγχο του εισερχόμενου και εξερχόμενου network traffic, παρέχοντας ένα επιπλέον επίπεδο άμυνας.
Οι χρήστες θα πρέπει επίσης να είναι προσεκτικοί κατά τη λήψη λογισμικού από μη αξιόπιστες πηγές και να χρησιμοποιούν διαχειριστές πακέτων για την εγκατάσταση εφαρμογών, καθώς αυτά τα εργαλεία συχνά επαληθεύουν την ακεραιότητα του λογισμικού. Η ενσωμάτωση λύσεων προστασίας από ιούς, ειδικά σχεδιασμένες για Linux, μπορεί επίσης να βοηθήσει στον εντοπισμό και τον μετριασμό πιθανών απειλών, διασφαλίζοντας ένα ασφαλέστερο υπολογιστικό περιβάλλον.
Πηγή: www.bleepingcomputer.com
