Um malware Linux furtivo, chamado 'sedexp', vem evadindo a detecção desde 2022, ao utilizar uma técnica de persistência ainda não incluída no framework MITRE ATT&CK.
O malware foi descoberto pela firma de gestão de riscos Stroz Friedberg, uma companhia de seguros Aon, e permite que seus operadores criem reverse shells para acesso remoto e para avançar o ataque.
"No momento em que este texto foi escrito, a técnica de persistência usada (regras udev) não está documentada pelo MITRE ATT&CK", notam os pesquisadores, salientando que o sedexp é uma ameaça avançada que se esconde à vista de todos.
'udev' é um sistema de gerenciamento de dispositivos para o kernel Linux responsável por manipular os nós de dispositivos no diretório /dev, que contém arquivos representando os componentes de hardware disponíveis no sistema, como unidades de armazenamento, interfaces de rede e drives USB.
Arquivos de nós são criados e removidos dinamicamente quando o usuário conecta/desconecta dispositivos, enquanto udev também cuida do carregamento de drivers apropriados.
Regras udev são arquivos de configuração de texto que ditam como o gerenciador deve lidar com certos dispositivos ou eventos, localizados em '/etc/udev/rules.d/' ou '/lib/udev/rules.d/'.
Essas regras contêm três parâmetros que especificam sua aplicabilidade (ACTION== "add"), o nome do dispositivo (KERNEL== "sdb1") e qual script executar quando as condições especificadas forem atendidas (RUN+="/caminho/para/script").
O malware sedexp adiciona a seguinte regra udev em sistemas comprometidos:
ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"
Esta regra é acionada sempre que um novo dispositivo é adicionado ao sistema, verificando se seus números major e minor correspondem a '/dev/random', que é carregado durante a inicialização do sistema e usado como um gerador de números aleatórios por vários aplicativos e processos do sistema.
O componente final da regra (RUN+= "asedexpb run:+") executa o script do malware 'asedexpb', então, definindo /dev/random como uma pré-condição, os atacantes garantem que o malware seja executado frequentemente.
Mais importante ainda, /dev/random é um componente essencial do sistema no Linux que soluções de segurança não monitoram.
Portanto, seu abuso garante a evasão para o malware.
O malware nomeia seu processo 'kdevtmpfs', o que imita um processo legítimo do sistema, mesclando-se ainda mais com as atividades normais e tornando-o mais difícil de ser detectado usando métodos convencionais.
Em relação às suas capacidades operacionais, o malware usa forkpty ou pipes e um novo processo forkado para configurar um reverse shell para que o atacante acesse remotamente o dispositivo infectado.
Sedexp também emprega técnicas de manipulação de memória para esconder qualquer arquivo contendo a string "sedexp" de comandos padrão como 'ls' ou 'find', ocultando sua presença no sistema.
Ele também pode modificar o conteúdo da memória para injetar código malicioso ou alterar o comportamento de aplicativos e processos do sistema existentes.
Os pesquisadores mencionam que o malware tem sido usado "in the wild" desde pelo menos 2022.
Eles o encontraram presente em muitos sandboxes online e sem ser detectado (no VirusTotal, apenas dois motores antivírus marcaram como maliciosas as três amostras de sedexp disponíveis no relatório).
De acordo com Stroz Friedberg, o malware tem sido usado para ocultar código de scraping de cartão de crédito em servidores web comprometidos, indicando envolvimento em ataques motivados financeiramente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...