研究人员发现了一种名为 sedexp 的新型隐蔽 Linux 恶意软件,它使用 Linux udev 规则来实现持久性并逃避检测。Aon 的 Cyber Solutions 发现了一个名为 sedexp 的新恶意软件家族,它依赖于一种鲜为人知的 Linux 持久性技术。该恶意软件至少自 2022 年以来一直很活跃,但多年来基本上未被发现。专家指出,该恶意软件采用的持久性方法目前尚未被 MITRE ATT&CK 记录。该技术允许恶意软件在受感染的系统上保持持久性并隐藏信用卡撇取器代码。Sedexp 使用 udev 规则来维护持久性。Udev 是一个系统组件,用于管理 Linux 系统上的设备事件,使其能够根据设备的属性识别设备,并配置规则以在设备插入或移除时触发操作。这种对 udev 规则的创新使用使 sedexp 作为一种持久化机制脱颖而出。“在最近的一次调查中,Stroz Friedberg 发现了使用 udev 规则来保持持久性的恶意软件。这种技术允许恶意软件在每次发生特定设备事件时执行,使其隐蔽且难以检测,“AON 发布的报告写道。“此规则确保在加载 /dev/random 时运行恶意软件。/dev/random 是一个用作随机数生成器的特殊文件,被各种系统进程和应用程序用来获取加密操作、安全通信和其他需要随机性的功能的熵。它在每次重启时由操作系统加载,这意味着此规则将有效地确保 sedexp 脚本在系统重启时运行。sedexp 恶意软件有两个显着特点:反向 Shell 功能:它允许攻击者远程保持对受感染系统的控制。Stealth 的内存修改:该恶意软件修改内存以从 or 等命令中隐藏包含字符串“sedexp”的文件,有效地隐藏了 webshell、修改后的 Apache 配置文件和 udev 规则本身。lsfind研究人员认为,恶意软件 sedexp 背后的威胁行为者是出于经济动机。“sedexp 的发现表明,除了勒索软件之外,出于经济动机的威胁行为者已经进化出了复杂性。利用很少使用的持久性技术(如 udev 规则)凸显了对全面和高级取证分析的需求。“组织应不断更新其检测能力,实施全面的安全措施来减轻此类威胁,并确保聘请有能力的 DFIR 公司完成对任何可能受损的服务器的取证审查。”
