- Malware sedexp menyerang sistem dengan peraturan udev.
- Penyerang menggunakan malware ini untuk mengakses perangkat jarak jauh.
- Malware ini dapat menyembunyikan file dan mengubah isi memori sistem.
pibitek.biz -Malware Linux yang disebut "sedexp" telah menghindari deteksi selama dua tahun dengan menggunakan teknik keberlangsungan yang belum termasuk dalam kerangka MITRE ATT&CK. Malware ini ditemukan oleh perusahaan manajemen risiko Stroz Friedberg, yang merupakan bagian dari Aon Insurance, dan memungkinkan operatornya untuk membuat shell terbalik untuk akses jarak jauh dan untuk melanjutkan serangan. Udev adalah sistem manajemen perangkat untuk kernel Linux yang bertanggung jawab untuk menangani node perangkat di direktori /dev, yang berisi file yang mewakili komponen hardware yang tersedia di sistem, seperti drive penyimpanan, antarmuka jaringan, dan drive USB.
2 – AI Apple: Kekecewaan dan Keterlambatan 2 – AI Apple: Kekecewaan dan Keterlambatan
3 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman 3 – Pemerintah AS Perkuat Keamanan Digital dengan RPKI dan Bahasa Aman
File node secara dinamis diciptakan dan dihapus ketika pengguna menghubungkan/menghubungkan perangkat, sementara udev juga menangani proses loading driver yang tepat. Peraturan udev adalah file konfigurasi teks yang menentukan bagaimana pengelola harus menangani perangkat tertentu atau acara, terletak di '/etc/udev/rules. d/' atau '/lib/udev/rules. d/'. Peraturan ini berisi tiga parameter yang menentukan aplikabilitasnya, nama perangkat, dan skrip apa yang harus dijalankan ketika kondisi yang ditentukan terpenuhi.
Malware sedexp menambahkan peraturan udev berikut pada sistem yang kompromi: ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN ="asedexpb run: " Peraturan ini memicu setiap kali perangkat baru ditambahkan ke sistem, memeriksa apakah nomor utama dan minor cocok dengan '/dev/random', yang dimuat ketika boot sistem dan digunakan sebagAI Generatiferator angka acak oleh aplikasi dan proses sistem. Komponen terakhir peraturan (RUN = "asedexpb run: ") menjalankan skrip malware 'asedexpb', sehingga dengan menetapkan /dev/random sebagai kondisi awal, penyerang memastikan malware dijalankan secara teratur. Malware ini menamai prosesnya 'kdevtmpfs', yang meniru proses sistem yang sah, sehingga lebih sulit untuk dideteksi menggunakan metode konvensional.
Selain itu, malware ini menggunakan teknik manipulasi memori untuk menyembunyikan file yang berisi string "sedexp" dari perintah standar seperti 'ls' atau 'find', sehingga keberadaannya di sistem tidak terdeteksi. Malware ini juga dapat memodifikasi isi memori untuk menyuntikkan kode berbahaya atau mengubah perilaku aplikasi dan proses sistem yang ada. Peneliti mencatat bahwa malware ini telah digunakan di lapangan sejak setidaknya tahun 2022 dan telah ditemukan pada banyakandbox online tanpa dideteksi.
Malware ini telah digunakan untuk menyembunyikan kode penggalian kartu kredit pada server web yang diubah, menunjukkan keterlibatan dalam serangan yang dimotivasi secara keuangan. Penyerang menggunakan malware ini untuk membuat shell terbalik untuk mengakses perangkat yang terinfeksi secara jarak jauh. Mereka dapat menggunakan malware ini untuk melakukan berbagai aktivitas jahat, seperti mencuri data sensitif atau menjalankan software berbahaya lainnya. Oleh karena itu, penting untuk meningkatkan kesadaran tentang malware ini dan mengambil langkah-langkah untuk melindungi sistem dari serangan semacam itu.
