sedexp - Mã độc nguy hiểm và kỹ thuật ẩn mình tinh vi trên hệ thống Linux

sedexp - Mã độc nguy hiểm và kỹ thuật ẩn mình tinh vi trên hệ thống Linux

Các chuyên gia an ninh mạng gần đây đã xác định một kỹ thuật ẩn mình của mã độc chưa từng biết đến của Linux bởi một phần mềm độc hại chưa được xác định, có tên là “sedexp”. Đặc biệt là phần mềm độc hại đã được ghi nhận là tiến trình hợp pháp tồn tại trên hệ thống ít nhất từ ​​năm 2022, nhưng đến tận bây giờ mới tìm thấy nhiều phiên bản có sẵn trong sanbox online mà không bị phát hiện.

1. Thông tin chi tiết

Sedexp sử dụng các quy tắc udev để duy trì sự tồn tại tiến trình của nó trên hệ thống Linux. Phần mềm độc hại này ẩn các quy tắc bằng cách sử dụng các kỹ thuật lợi dụng bộ nhớ.

udev là một hệ thống quản lý thiết bị trong Linux kernel, chịu trách nhiệm quản lý các nút thiết bị trong thư mục /dev. udev tạo hoặc xóa các tệp nút thiết bị một cách động, xử lý các sự kiện hotplug để cấu hình các thiết bị mới và tải các trình điều khiển (drivers) khi cần thiết. Các quy tắc udev là các tệp cấu hình được sử dụng bởi udev để khớp với các thiết bị và thực thi các hành động phản ứng với các sự kiện như thêm hoặc gỡ bỏ thiết bị.

Ví dụ, khi một thiết bị USB được cắm vào, udev sử dụng các quy tắc để xác định trình điều khiển phù hợp cần tải và các hành động cần thực hiện. Các quy tắc này thường được lưu trữ trong các tệp tại /etc/udev/rules.d/ hoặc /lib/udev/rules.d/. Mỗi quy tắc bao gồm các điều kiện để khớp với các thiết bị cụ thể và các hành động tương ứng cần thực hiện. Một quy tắc udev điển hình:

ACTION=="add", KERNEL=="sdb1", RUN+="/path/to/script"

2. Kỹ thuật khai thác

Sau khi mã độc được cài vào hệ thống, phần mềm độc hại sedexp sẽ thêm rule udev sau vào:

ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"

  • ACTION=="add": Rule này được kích hoạt mỗi khi một thiết bị mới được thêm vào hệ thống. Điều này có nghĩa là quy tắc sẽ kiểm tra mỗi lần có một thiết bị phần cứng được kết nối.

  • ENV{MAJOR}=="1", ENV{MINOR}=="8": Hai giá trị MAJORMINOR này tương ứng với các số chính và phụ của thiết bị. Cụ thể, chúng khớp với thiết bị /dev/random, một thành phần hệ thống được tải khi khởi động và được sử dụng làm bộ tạo số ngẫu nhiên bởi nhiều ứng dụng và quá trình hệ thống.

    • /dev/random là một tệp đặc biệt trên các hệ thống Linux cung cấp các số ngẫu nhiên, thường được sử dụng cho các hoạt động liên quan đến mã hóa hoặc bảo mật.
  • RUN+="asedexpb run:+": Thành phần này của quy tắc chỉ định hành động cần thực hiện khi quy tắc được kích hoạt. Cụ thể, nó thực thi tập lệnh của phần mềm độc hại có tên là 'asedexpb'.

    • Việc cài đặt /dev/random làm điều kiện tiên quyết đảm bảo rằng phần mềm độc hại sẽ được thực thi thường xuyên, vì /dev/random là một thành phần hệ thống quan trọng và luôn tồn tại sau khi hệ thống khởi động.
  • Ý nghĩa:

  • /dev/random là một thành phần quan trọng của hệ thống Linux mà hầu hết các giải pháp bảo mật không giám sát một cách chặt chẽ. Bằng cách lợi dụng /dev/random, phần mềm độc hại có thể tránh được sự phát hiện từ các công cụ bảo mật thông thường.

  • Quy tắc udev này rất tinh vi vì nó lợi dụng một tệp hệ thống cần thiết và thường xuyên được sử dụng, điều này giúp phần mềm độc hại chạy một cách đều đặn mà không bị chú ý. Sự kiện này đảm bảo rằng phần mềm độc hại sẽ được kích hoạt mỗi khi hệ thống khởi động và trong suốt thời gian hoạt động của hệ thống, giúp nó duy trì quyền kiểm soát hệ thống mục tiêu.

  • Persistence Setup:

  • Ngoài ra nó đặt tên cho tiến trình của nó là 'kdevtmpfs', bắt chước quy trình hệ thống hợp pháp, hòa trộn hơn nữa với các hoạt động thông thường và khiến khó phát hiện hơn bằng các phương pháp thông thường.

  • Reverse Shell Execution: Tùy thuộc vào đầu vào, nó có thể thiết lập Reverse Shell, sử dụng forkpty hoặc tạo pine và phân nhánh một tiến trình mới.

3. IOC

Hash SHA256:

TypeValue
SHA25643f72f4cdab8ed40b2f913be4a55b17e7fd8a7946a636adb4452f685c1ffea02
SHA25694ef35124a5ce923818d01b2d47b872abd5840c4f4f2178f50f918855e0e5ca2
SHA256b981948d51e344972d920722385f2370caf1e4fac0781d508bc1f088f477b648

4. Tham Khảo

  1. Stealthy 'sedexp' Linux malware evaded detection for two years

    <https://www.bleepingcomputer.com/news/security/stealthy-sedexp-linux-malware-evaded-detection-for-two-years/\>

  2. Unveiling "sedexp": A Stealthy Linux Malware Exploiting udev Rules<https://www.aon.com/en/insights/cyber-labs/unveiling-sedexp\>