A ’sedexp’ névre hallgató kifejezetten jól rejtőzködő linux malware 2022 óta sikeresen kerüli el a felismerést egy olyan persistence módszer alkalmazásával, ami még nincs benne a MITTRE ATT@CK keretrendszerben. A malware-t a kockázatkezeléssel foglalkozó Stroz Friedberg nevű cég fedezte fel. Lehetővé teszi a támadók számára, hogy reverse shellt hozzanak létre távoli hozzáféréshez, és így további támadásokat tesz lehetővé.
A malware a Linux kernel ’udev’ névre hallgató eszközkezelő rendszerét használja ki, ami a /dev könyvtárban található eszköz node-okért felelős. Ez a mappa olyan file-okat tartalmaz, amik a rendszer számára elérhető hardware elemeket reprezentálják, például tárolómeghajtókat, hálózati interfészeket vagy USB meghajtókat.
A node file-ok dinamikusan jönnek létre és törlődnek, amikor a felhasználó eszközöket csatlakoztat vagy választ le, eközben a ’udev’ az ehhez szükséges illesztőprogramok betöltését kezeli. Azt, hogy az eszközkezelő hogyan kezeljen bizonyos eszközöket vagy eseményeket, a udev szabályok határozzák meg, amik szöveges konfigurációs file-ok az ‘/etc/udev/rules.d/’ vagy a ‘/lib/udev/rules.d/’ könyvtárakban. Ezek a szabályok három paramétert tartalmaznak:
- (ACTION==”add”) – az eszközzel való teendőt
- (KERNEL==”sdb1″) – az eszköz nevét
- (RUN+=”/path/to/script”) – a scriptet, amit futtatni kell, ha bizonyos feltételek teljesülnek
A sedexp malware a következő udev szabályt adja hozzá a fertőzött rendszereken:
ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+”
Ez a szabály akkor kerül érvényesítésre, amikor egy eszköz csatlakozik a rendszerhez, és a MAJOR és MINOR számok egyeznek a ‘/dev/random,’ értékkel, ami egy bootoláskor generált random érték, amit több applikáció és rendszerfolyamat is használ. Az utolsó komponens lefutattja az ’asedexpb’ scriptet, és mivel az előfeltétel a /dev/random, ezzel garantált, hogy a malware gyakran lefut.
A legfontosabb, hogy a malware eddig azért lehetett észrevétlen, mert a /dev/random egy alapvető Linux rendszerkomponens, amit a biztonsági megoldások nem ellenőriznek.
A malware folyamatának neve ‘kdevtmpfs’-, ami egy legitim rendszerfolyamatot utánoz, ezzel még jobban beleolvad a normál tevékenységek közé. Működését tekintve reverse shell-t biztosít a támadó számára, illetve memória manipulációra is képes. Ezzel el tud rejteni minden olyan file-t, amiben a ’sedexp’ karakterlánc megtalálható, így hagyományos parancsokkal, mint az ’ls’ vagy ’find’ nem megtalálható. Ezeken felül rosszindulatú kód injektálásra is használható.
A malware legalább 2022 óta van aktívan jelen, felfedezése óta több online sandboxban is megtalálták. A Stroz Friedberg szerint a támadók eddig leginkább bankkártya adatgyűjtő kód elrejtésére használták feltört webszervereken, így feltehetően több sikeres pénzügyileg motivált támadásban is aktívan részt vehetett.