Um malware Linux furtivo, chamado 'sedexp', vem evadindo a detecção desde 2022, ao utilizar uma técnica de persistência ainda não incluída no framework MITRE ATT&CK.
O malware foi descoberto pela firma de gestão de riscos Stroz Friedberg, uma companhia de seguros Aon, e permite que seus operadores criem reverse shells para acesso remoto e para avançar o ataque.
"No momento em que este texto foi escrito, a técnica de persistência usada (regras udev) não está documentada pelo MITRE ATT&CK", notam os pesquisadores, salientando que o sedexp é uma ameaça avançada que se esconde à vista de todos.
'udev' é um sistema de gerenciamento de dispositivos para o kernel Linux responsável por manipular os nós de dispositivos no diretório /dev, que contém arquivos representando os componentes de hardware disponíveis no sistema, como unidades de armazenamento, interfaces de rede e drives USB.
Arquivos de nós são criados e removidos dinamicamente quando o usuário conecta/desconecta dispositivos, enquanto udev também cuida do carregamento de drivers apropriados.
Regras udev são arquivos de configuração de texto que ditam como o gerenciador deve lidar com certos dispositivos ou eventos, localizados em '/etc/udev/rules.d/' ou '/lib/udev/rules.d/'.
Essas regras contêm três parâmetros que especificam sua aplicabilidade (ACTION== "add"), o nome do dispositivo (KERNEL== "sdb1") e qual script executar quando as condições especificadas forem atendidas (RUN+="/caminho/para/script").
O malware sedexp adiciona a seguinte regra udev em sistemas comprometidos:
ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"
Esta regra é acionada sempre que um novo dispositivo é adicionado ao sistema, verificando se seus números major e minor correspondem a '/dev/random', que é carregado durante a inicialização do sistema e usado como um gerador de números aleatórios por vários aplicativos e processos do sistema.
O componente final da regra (RUN+= "asedexpb run:+") executa o script do malware 'asedexpb', então, definindo /dev/random como uma pré-condição, os atacantes garantem que o malware seja executado frequentemente.
Mais importante ainda, /dev/random é um componente essencial do sistema no Linux que soluções de segurança não monitoram.
Portanto, seu abuso garante a evasão para o malware.
O malware nomeia seu processo 'kdevtmpfs', o que imita um processo legítimo do sistema, mesclando-se ainda mais com as atividades normais e tornando-o mais difícil de ser detectado usando métodos convencionais.
Em relação às suas capacidades operacionais, o malware usa forkpty ou pipes e um novo processo forkado para configurar um reverse shell para que o atacante acesse remotamente o dispositivo infectado.
Sedexp também emprega técnicas de manipulação de memória para esconder qualquer arquivo contendo a string "sedexp" de comandos padrão como 'ls' ou 'find', ocultando sua presença no sistema.
Ele também pode modificar o conteúdo da memória para injetar código malicioso ou alterar o comportamento de aplicativos e processos do sistema existentes.
Os pesquisadores mencionam que o malware tem sido usado "in the wild" desde pelo menos 2022.
Eles o encontraram presente em muitos sandboxes online e sem ser detectado (no VirusTotal, apenas dois motores antivírus marcaram como maliciosas as três amostras de sedexp disponíveis no relatório).
De acordo com Stroz Friedberg, o malware tem sido usado para ocultar código de scraping de cartão de crédito em servidores web comprometidos, indicando envolvimento em ataques motivados financeiramente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...