Un malware Linux furtif nommé « sedexp » échappe à la détection depuis 2022 en utilisant une technique de persistance qui n’est pas encore incluse dans le framework MITRE ATT&CK.

Le logiciel malveillant a été découvert par la société de gestion des risques Stroz Friedberg, une compagnie d’assurance Aon, et permet à ses opérateurs de créer des coques inversées pour l’accès à distance et de poursuivre l’attaque.

« Au moment d’écrire ces lignes, la technique de persistance utilisée (règles udev) n’est pas documentée par MITRE ATT&CK », notent les chercheurs, soulignant que sedexp est une menace avancée qui se cache dans un site simple.

Persistance via les règles udev
‘udev’ est un système de gestion de périphériques pour le noyau Linux responsable de la gestion des nœuds de périphériques dans le répertoire /dev, qui contient des fichiers qui représentent les composants matériels disponibles sur le système tels que les lecteurs de stockage, les interfaces réseau et les lecteurs USB.

Les fichiers de nœuds sont créés et supprimés dynamiquement lorsque l’utilisateur connecte/déconnecte des périphériques, tandis qu’udev gère également le chargement des pilotes appropriés.

Les règles Udev sont des fichiers de configuration texte qui dictent comment le gestionnaire doit gérer certains périphériques ou événements, situés dans ‘ /etc/udev / rules.d /’ou’ /lib/udev / règles.d/.’

Ces règles contiennent trois paramètres qui spécifient son applicabilité (ACTION== « add »), le nom du périphérique (NOYAU = = « sdb1″) et le script à exécuter lorsque les conditions spécifiées sont remplies (RUN+= »/path/to/script »).

Le malware sedexp ajoute la règle udev suivante sur les systèmes compromis:

ACTION== « ajouter », ENV {MAJEUR} = = « 1 », ENV {MINEUR}== « 8 », EXÉCUTER+=  » asedexpb exécuter:+ »

Cette règle se déclenche chaque fois qu’un nouveau périphérique est ajouté au système, vérifiant si ses numéros majeurs et mineurs correspondent à ‘/dev/random’, qui est chargé au démarrage du système et utilisé comme générateur de nombres aléatoires par plusieurs applications et processus système.

Le composant de règle final (RUN + =  » asedexpb run:+ ») exécute le script du malware « asedexpb », donc en définissant /dev / random comme condition préalable, les attaquants s’assurent que le malware est exécuté fréquemment.

Plus important encore, /dev / random est un composant système essentiel sous Linux que les solutions de sécurité ne surveillent pas. Par conséquent, son abus garantit l’évasion du malware.

Établir la persistance sur le système

Principales capacités opérationnelles
Le logiciel malveillant nomme son processus « kdevtmpfs », qui imite un processus système légitime, se fondant davantage dans les activités normales et le rendant plus difficile à détecter à l’aide de méthodes conventionnelles.

Nommage des processus pour se fondre dans les opérations système

En ce qui concerne ses capacités opérationnelles, le logiciel malveillant utilise soit forkpty, soit des tuyaux et un nouveau processus bifurqué pour configurer un shell inversé permettant à l’attaquant d’accéder à distance au périphérique infecté.

Sedexp utilise également des techniques de manipulation de la mémoire pour masquer tout fichier contenant la chaîne « sedexp » des commandes standard telles que  » ls  » ou « rechercher », dissimulant sa présence sur le système.

Il peut également modifier le contenu de la mémoire pour injecter du code malveillant ou modifier le comportement des applications et des processus système existants.

Les chercheurs mentionnent que le logiciel malveillant est utilisé dans la nature depuis au moins 2022. Ils l’ont trouvé présent dans de nombreux bacs à sable en ligne et sans être détecté (sur VirusTotal, seuls deux moteurs antivirus signalent comme malveillants les trois échantillons sedexp disponibles dans le rapport).

Selon Stroz Friedberg, le logiciel malveillant a été utilisé pour masquer le code de grattage de carte de crédit sur un serveur Web compromis, indiquant une implication dans des attaques à motivation financière.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *