Malware Linux Sedexp opera no anonimato
26 de Agosto de 2024

Um malware Linux furtivo, chamado 'sedexp', vem evadindo a detecção desde 2022, ao utilizar uma técnica de persistência ainda não incluída no framework MITRE ATT&CK.

O malware foi descoberto pela firma de gestão de riscos Stroz Friedberg, uma companhia de seguros Aon, e permite que seus operadores criem reverse shells para acesso remoto e para avançar o ataque.

"No momento em que este texto foi escrito, a técnica de persistência usada (regras udev) não está documentada pelo MITRE ATT&CK", notam os pesquisadores, salientando que o sedexp é uma ameaça avançada que se esconde à vista de todos.

'udev' é um sistema de gerenciamento de dispositivos para o kernel Linux responsável por manipular os nós de dispositivos no diretório /dev, que contém arquivos representando os componentes de hardware disponíveis no sistema, como unidades de armazenamento, interfaces de rede e drives USB.

Arquivos de nós são criados e removidos dinamicamente quando o usuário conecta/desconecta dispositivos, enquanto udev também cuida do carregamento de drivers apropriados.

Regras udev são arquivos de configuração de texto que ditam como o gerenciador deve lidar com certos dispositivos ou eventos, localizados em '/etc/udev/rules.d/' ou '/lib/udev/rules.d/'.

Essas regras contêm três parâmetros que especificam sua aplicabilidade (ACTION== "add"), o nome do dispositivo (KERNEL== "sdb1") e qual script executar quando as condições especificadas forem atendidas (RUN+="/caminho/para/script").

O malware sedexp adiciona a seguinte regra udev em sistemas comprometidos:

ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"

Esta regra é acionada sempre que um novo dispositivo é adicionado ao sistema, verificando se seus números major e minor correspondem a '/dev/random', que é carregado durante a inicialização do sistema e usado como um gerador de números aleatórios por vários aplicativos e processos do sistema.

O componente final da regra (RUN+= "asedexpb run:+") executa o script do malware 'asedexpb', então, definindo /dev/random como uma pré-condição, os atacantes garantem que o malware seja executado frequentemente.

Mais importante ainda, /dev/random é um componente essencial do sistema no Linux que soluções de segurança não monitoram.

Portanto, seu abuso garante a evasão para o malware.

O malware nomeia seu processo 'kdevtmpfs', o que imita um processo legítimo do sistema, mesclando-se ainda mais com as atividades normais e tornando-o mais difícil de ser detectado usando métodos convencionais.

Em relação às suas capacidades operacionais, o malware usa forkpty ou pipes e um novo processo forkado para configurar um reverse shell para que o atacante acesse remotamente o dispositivo infectado.

Sedexp também emprega técnicas de manipulação de memória para esconder qualquer arquivo contendo a string "sedexp" de comandos padrão como 'ls' ou 'find', ocultando sua presença no sistema.

Ele também pode modificar o conteúdo da memória para injetar código malicioso ou alterar o comportamento de aplicativos e processos do sistema existentes.

Os pesquisadores mencionam que o malware tem sido usado "in the wild" desde pelo menos 2022.

Eles o encontraram presente em muitos sandboxes online e sem ser detectado (no VirusTotal, apenas dois motores antivírus marcaram como maliciosas as três amostras de sedexp disponíveis no relatório).

De acordo com Stroz Friedberg, o malware tem sido usado para ocultar código de scraping de cartão de crédito em servidores web comprometidos, indicando envolvimento em ataques motivados financeiramente.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...