sedexp」と名付けられたステルス性のLinuxマルウェアが、MITREのATT&CKフレームワークにはまだ含まれていない永続化テクニックを使うことで、2022年以来検知を逃れている。
このマルウェアは、エーオン保険のリスク管理会社であるStroz Friedberg社によって発見され、操作者はリモートアクセス用のリバースシェルを作成し、攻撃をさらに進めることができる。
「この記事を書いている時点では、使用されている永続化テクニック(udevルール)はMITRE ATT&CKによって文書化されていません」と研究者は指摘し、sedexpが平易な場所に隠れる高度な脅威であることを強調しています。
udevルールによる永続化
udev」はLinuxカーネルのデバイス管理システムで、/devディレクトリ内のデバイスノードの処理を担当する。
ノードファイルは、ユーザーがデバイスを接続/切断するときに動的に作成/削除され、udevは適切なドライバのロードも処理します。
Udevルールは、マネージャが特定のデバイスやイベントをどのように扱うべきかを指示するテキスト設定ファイルで、「/etc/udev/rules.d/」または「/lib/udev/rules.d/」にあります。
これらのルールには、適用可能性(ACTION== “add”)、デバイス名(KERNEL== “sdb1″)、指定された条件が満たされたときに実行するスクリプト(RUN+=”/path/to/script”)を指定する3つのパラメータが含まれている。
sedexpマルウェアは、侵害されたシステム上に以下のudevルールを追加します:
ACTION=="add"、ENV{MAJOR}="1"、ENV{MINOR}="8"、RUN+="asedexpb run:+"。
このルールは、新しいデバイスがシステムに追加されるたびにトリガーされ、そのメジャー番号とマイナー番号が、システム起動時にロードされ、複数のアプリとシステムプロセスによって乱数生成器として使用される「/dev/random」と一致するかどうかをチェックする。
最後のルールコンポーネント(RUN+= “asedexpb run:+”)は、マルウェアのスクリプト「asedexpb」を実行するため、攻撃者は/dev/randomを前提条件として設定することで、マルウェアが頻繁に実行されるようにしている。
最も重要なのは、/dev/randomがLinuxに不可欠なシステム・コンポーネントであり、セキュリティ・ソリューションが監視していないことだ。従って、/dev/randomの悪用はマルウェアの回避を保証する。
主要な操作能力
このマルウェアは、プロセス名を「kdevtmpfs」とし、正規のシステム・プロセスを模倣することで、通常の動作に紛れ込ませ、従来の手法による検出を困難にしています。
このマルウェアの操作能力については、forkptyまたはpipesを使用し、フォークされた新しいプロセスを使用して、攻撃者が感染したデバイスにリモートアクセスするためのリバースシェルをセットアップします。
また、「sedexp」という文字列を含むファイルを「ls」や「find」といった標準的なコマンドから隠し、システム上に存在することを隠すために、メモリ操作技術を使用します。
また、メモリの内容を変更して悪意のあるコードを注入したり、既存のアプリやシステムプロセスの動作を変更したりすることもできる。
研究者らは、このマルウェアは少なくとも2022年以降、野放しで使用されてきたと述べている。研究者らは、このマルウェアが多くのオンライン・サンドボックスで検出されずに存在していることを発見した(VirusTotalでは、このレポートで利用可能な3つのsedexpサンプルについて、2つのアンチウイルスエンジンのみが悪意のあるものとしてフラグを立てている)。
Stroz Friedbergによると、このマルウェアは、侵害されたウェブサーバ上にクレジットカードのスクレイピングコードを隠すために使用されており、金銭的な動機による攻撃への関与を示している。
Comments