Шкідливе програмне забезпечення для Linux під назвою sedexp уникало виявлення з 2022 року, використовуючи техніку збереження, яка ще не включена в базу даних MITRE ATT&CK.
Як повідомляє Bleeping Computer, це шкідливе ПЗ було виявлене компанією з управління ризиками Stroz Friedberg, що є підрозділом страхової компанії Aon Insurance. Воно дає змогу операторам створювати зворотні оболонки для віддаленого доступу та подальшої атаки.
«На момент написання цього звіту техніка збереження (udev rules), яку використовує sedexp, ще не задокументована в MITRE ATT&CK», — зазначили дослідники, підкресливши, що sedexp є розвиненою загрозою, яка маскується у відкритому доступі.
Збереження за допомогою правил udev
udev — це система управління пристроями для ядра Linux, відповідальна за обробку вузлів пристроїв у каталозі/dev, який містить файли, що представляють апаратні компоненти, доступні на системі, такі як накопичувачі, мережеві інтерфейси та USB-пристрої.
Файли вузлів динамічно створюються та видаляються, коли користувач підключає/відключає пристрої. Також udev обробляє завантаження відповідних драйверів.
Правила udev — це текстові конфігураційні файли, які визначають, як менеджер повинен обробляти певні пристрої або події, розташовані в /etc/udev/rules.d/' або '/lib/udev/rules.d/.
Ці правила містять три параметри, які визначають їх застосовність (ACTION== "add"), ім’я пристрою (KERNEL== "sdb1") і який скрипт виконувати, коли відповідають зазначені умови (RUN+="/path/to/script").
Шкідливе ПЗ sedexp додає таке правило udev на скомпрометованих системах:
ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"
Це правило активується щоразу, коли новий пристрій додається до системи, перевіряючи, чи відповідають його основні та другорядні номери '/dev/random', яке завантажується під час запуску системи й використовується як генератор випадкових чисел багатьма застосунками та системними процесами.
Останній компонент правила (RUN+= "asedexpb run:+") виконує скрипт 'asedexpb' шкідливого ПЗ. Шляхом встановлення /dev/random як попередньої умови зловмисники забезпечують часте виконання шкідливого ПЗ.
Найважливіше те, що /dev/random є важливим системним компонентом у Linux, який не контролюється системами безпеки. Отже, його використання гарантує уникнення виявлення шкідливого ПЗ.
Основні операційні можливості
Шкідливе ПЗ іменує свій процес 'kdevtmpfs'. Це імітує легітимний системний процес, ще більше зливаючись із нормальними активностями й ускладнюючи його виявлення за допомогою традиційних методів.
Щодо операційних можливостей, то шкідливе ПЗ використовує або forkpty, або труби і новий процес для налаштування зворотного з’єднання (reverse shell), що дозволяє зловмисникам дистанційно отримати доступ до зараженого пристрою.
Sedexp також застосовує техніки маніпуляції пам’яттю, щоб приховати будь-які файли, які містять рядок «sedexp», від стандартних команд, таких як 'ls' або 'find', приховуючи свою присутність у системі.
Також воно може змінювати вміст пам’яті, вводячи шкідливий код або змінюючи поведінку застосунків і системних процесів.
Дослідники зазначають, що шкідливе ПЗ використовувалося принаймні з 2022 року. Вони виявили його присутність у багатьох онлайн-пісочницях, і воно не було виявлено (на VirusTotal лише два антивірусні двигуни визначають три зразки sedexp як шкідливі).
За даними Stroz Friedberg, шкідливе програмне забезпечення використовувалося для приховування коду скрапінгу кредитних карток на скомпрометованих вебсерверах, що свідчить про його участь у фінансово мотивованих атаках.
Раніше ми повідомляли, що останнє оновлення системи безпеки Microsoft руйнує комп’ютери з подвійним завантаженням Windows і Linux.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!