网络安全研究人员发现了一种新的隐秘 Linux 恶意软件,它利用一种非常规技术在受感染的系统中实现持久性并隐藏信用卡盗刷代码。
该恶意软件被认为是一名以经济利益为目的的攻击者所为,Stroz Friedberg 事件响应服务团队将其代号命名为sedexp 。
研究人员 Zachary Reichert、Daniel Stein 和 Joshua Pivirotto表示:“这种高级威胁自 2022 年以来一直活跃,隐藏在众目睽睽之下,同时为攻击者提供了反向 shell 功能和先进的隐蔽战术。”
sedexp 的突出特点是它使用 udev 规则来保持持久性。udev 是设备文件系统的替代品,它提供了一种根据设备属性识别设备的机制,并配置规则以在设备状态发生变化(即插入或移除设备)时做出响应。
udev 规则文件中的每一行至少有一个键值对,从而可以按名称匹配设备,并在检测到各种设备事件时触发某些操作(例如,在连接外部驱动器时触发自动备份)。
SUSE Linux 在其文档中指出:“匹配规则可以指定设备节点的名称、添加指向该节点的符号链接或运行指定程序作为事件处理的一部分。如果未找到匹配规则,则使用默认设备节点名称来创建设备节点。”
sedexp 的 udev 规则——ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+" ——设置为每当 /dev/random (对应设备次要编号8)加载时就会运行恶意软件,这通常在每次重启时发生。
换句话说,每次系统重启后都会执行 RUN 参数中指定的程序。
该恶意软件具有启动反向 shell 的功能,以便于远程访问受感染的主机,以及修改内存以隐藏任何包含字符串“sedexp”的文件,使其无法被 ls 或 find 等命令发现。
Stroz Friedberg 表示,在其调查的案例中,该功能已被用来隐藏 Web Shell、更改的 Apache 配置文件以及 udev 规则本身。
研究人员表示:“该恶意软件被用来在网络服务器上隐藏信用卡抓取代码,表明其重点是经济利益。sedexp 的发现表明,除了勒索软件之外,以经济为目的的攻击者也变得越来越复杂。”
技术报告:https://www.aon.com/en/insights/cyber-labs/unveiling-sedexp
