'Sedexp' adlı gizli bir Linux kötü amaçlı yazılım, 2022'den bu yana henüz Miter ATT & CK çerçevesine dahil olmayan bir kalıcılık tekniği kullanılarak algılamadan kaçınıyor.
Kötü amaçlı yazılım, bir Aon sigorta şirketi olan risk yönetimi firması Stroz Friedberg tarafından keşfedildi ve operatörlerinin uzaktan erişim için ters mermiler oluşturmasını ve saldırıyı daha da ileriye götürmesini sağlıyor.
Araştırmacılar, "Bu yazı sırasında, kullanılan kalıcılık tekniği (Udev kuralları), Miter ATT & CK tarafından belgelenmiyor."
'Udev', /dev dizinindeki cihaz düğümlerini işlemekten sorumlu Linux çekirdeği için, depolama sürücüleri, ağ arayüzleri ve USB sürücüleri gibi sistemdeki donanım bileşenlerini temsil eden dosyalar içeren bir cihaz yönetim sistemidir.
Düğüm dosyaları, kullanıcı aygıtları bağladığında/bağlantıyı kestiğinde dinamik olarak oluşturulur ve kaldırılırken, Udev de uygun sürücülerin yüklenmesini işler.
Udev kuralları, yöneticinin '/etc/udeev/rules.d/' veya '/lib/udeev/rules.d/' da bulunan belirli cihazları veya olayları nasıl ele alması gerektiğini belirleyen metin yapılandırma dosyalarıdır.
Bu kurallar, uygulanabilirliğini belirten üç parametre (Action == "ekle"), cihaz adı (çekirdek == "SDB1") ve belirtilen koşullar karşılandığında hangi komut dosyasını çalıştırılır senaryo").
Sedexp kötü amaçlı yazılım, tehlikeye atılan sistemlere aşağıdaki Udev kuralını ekler:
Action == "Add", env {major} == "1", env {minör} == "8", run+= "ASEDEXPB Run:+"
Bu kural, sisteme yeni bir cihaz eklendiğinde tetiklenir, ana ve küçük sayılarının sistem önyüklemesine yüklenen ve birden fazla uygulama ve sistem işlemi tarafından rastgele bir sayı jeneratörü olarak kullanılan '/dev/rastgele' eşleşip eşleşmediğini kontrol eder.
Son kural bileşeni (Run+= "ASEDEXPB Run:+") kötü amaçlı yazılım 'ASEDEXPB' komut dosyasını yürütür, bu nedenle ön koşul olarak /dev /rastgele ayarlayarak, saldırganlar kötü amaçlı yazılımın sık sık çalıştırılmasını sağlar.
En önemlisi, /dev /rastgele, Linux'ta güvenlik çözümlerinin izlemediği önemli bir sistem bileşenidir. Dolayısıyla, istismarı kötü amaçlı yazılımdan kaçınmayı garanti eder.
Kötü amaçlı yazılım, meşru bir sistem sürecini taklit eden, normal faaliyetlerle daha da harmanlayan ve geleneksel yöntemleri kullanarak tespit etmeyi zorlaştıran 'KDevtmpfs' sürecini adlandırır.
Operasyonel yetenekleri ile ilgili olarak, kötü amaçlı yazılım forkpty veya borular ve saldırganın enfekte olmuş cihaza uzaktan erişmesi için ters bir kabuk ayarlamak için yeni bir işlem kullanır.
Sedexp ayrıca, 'LS' veya 'Find' gibi standart komutlardan "Sedexp" içeren herhangi bir dosyayı gizlemek için bellek manipülasyon tekniklerini kullanır, sistemdeki varlığını gizler.
Ayrıca, kötü niyetli kod enjekte etmek veya mevcut uygulamaların ve sistem işlemlerinin davranışını değiştirmek için bellek içeriğini de değiştirebilir.
Araştırmacılar, kötü amaçlı yazılımların en az 2022'den beri vahşi doğada kullanıldığını belirtiyorlar. Birçok çevrimiçi kum havuzunda ve tespit edilmeden mevcut buldular (Virustotal'da raporda bulunan üç sedexp örneği kötü niyetli olarak sadece iki antivirüs motoru bayrağı).
Stroz Friedberg'e göre, kötü amaçlı yazılım, web sunucusu tehlikeye atılmış bir web sunucularında kredi kartı kazıma kodunu gizlemek için kullanılmıştır ve bu da finansal olarak motive olmuş saldırılara dahil edilmiştir.
Microsoft, çift önyükleme sistemlerinde Linux önyükleme sorunları için temp düzeltmeyi paylaşıyor
Microsoft, Ağustos Güncellemelerini Çift-Boot Systems'ta Break Linux Boot'u onayladı
Bilgisayar korsanları, yeni kötü amaçlı yazılımlarla arka kapı Windows sistemlerine PHP istismarını kullanır
Ağustos Windows Güvenlik Güncellemesi Linux Systems'ta çift önyüklemeyi kırıyor
Azure Alanları ve Google, dezenformasyon ve kötü amaçlı yazılım yaymak için istismar edildi
Kaynak: Bleeping Computer