Malware sedexp

Pesquisadores identificaram um novo malware furtivo para Linux chamado sedexp

Imagem com caveira em destaque

Pesquisadores identificaram um novo malware furtivo para Linux chamado sedexp. Esse novo malware usa regras udev do Linux para obter persistência e evitar detecção.

Sedexp: um novo malware furtivo para Linux

A Cyber Solutions da Aon identificou uma nova família de malware, chamada sedexp, que depende de uma técnica de persistência menos conhecida do Linux.

Esse malware está ativo desde pelo menos 2022, mas permaneceu amplamente indetectável por anos. Os especialistas apontaram que o método de persistência empregado por esse malware não é documentado atualmente pelo MITRE ATT&CK. A técnica permite que o malware mantenha persistência em sistemas infectados e oculte códigos de skimmer de cartão de crédito.

Imagem com o nome malware em destaque

O Sedexp usa regras udev para manter a persistência. O Udev é um componente do sistema que gerencia eventos de dispositivos em sistemas Linux, permitindo que ele identifique dispositivos com base em suas propriedades e configure regras para disparar ações quando os dispositivos são conectados ou removidos. Esse uso inovador das regras udev faz o sedexp se destacar como um mecanismo de persistência.

Durante uma investigação recente, Stroz Friedberg descobriu malware usando regras udev para manter a persistência. Essa técnica permite que o malware seja executado toda vez que um evento específico do dispositivo ocorre, tornando-o furtivo e difícil de detectar.

Essa regra garante que o malware seja executado sempre que /dev/random for carregado. /dev/random é um arquivo especial que serve como um gerador de números aleatórios, usado por vários processos e aplicativos do sistema para obter entropia para operações criptográficas, comunicações seguras e outras funções que exigem aleatoriedade. Ele é carregado pelo sistema operacional em cada reinicialização, o que significa que essa regra garantiria efetivamente que o script sedexp fosse executado na reinicialização do sistema.

Relatório publicado pela AON

O malware sedexp tem duas características notáveis. A primeira é a capacidade de Reverse Shell: permite que o invasor mantenha o controle sobre o sistema comprometido remotamente; A segunda é a de modificação de memória para furtividade: o malware modifica a memória para ocultar arquivos que contêm a string “sedexp” de comandos como lsou find, ocultando efetivamente webshells, arquivos de configuração modificados do Apache e a própria regra udev.

Motivação dos ataques

Os pesquisadores acreditam que o autor da ameaça por trás do malware sedexp tem motivação financeira.

A descoberta do sedexp demonstra a sofisticação em evolução de agentes de ameaças motivados financeiramente além do ransomware. Aproveitar técnicas de persistência raramente utilizadas, como regras udev, destaca a necessidade de uma análise forense completa e avançada.

“As organizações devem atualizar continuamente suas capacidades de detecção, implementar medidas de segurança abrangentes para mitigar tais ameaças e garantir que uma empresa DFIR capaz seja contratada para concluir uma revisão forense de quaisquer servidores possivelmente comprometidos.”

Via: Security Affairs

Acesse a versão completa
Sair da versão mobile