Компания Stroz Friedberg в ходе расследования обнаружила активное использование неизвестной техники сохранения в Linux вредоносным ПО под названием "sedexp". Правила udev использовались вредоносной программой для поддержания постоянства.
sedexp
Udev - это система управления устройствами в Linux, которая создает и удаляет файлы узлов устройств и загружает драйверы по мере необходимости. Правила udev - это файлы конфигурации, которые используются для сопоставления устройств и выполнения действий в ответ на определенные события. Вредоносная программа "sedexp" использовала определенное правило udev, чтобы быть запущенной при каждой загрузке /dev/random, специального файла, генерирующего случайные числа.
Вредоносная программа "sedexp" обладает функциями обратной оболочки и модификации памяти для скрытности. Она может сохранять контроль над взломанной системой и скрывать свое присутствие, изменяя память и скрывая файлы от команд ls или find. Вредоносная программа принимает несколько шагов для обеспечения своей живучести и скрытности, включая манипуляцию аргументами, настройку постоянства и создание правила udev.
Декомпилированный код вредоносной программы показывает, как она выделяет память и обрабатывает аргументы, чтобы скрыть свое присутствие и слиться с легитимными системными процессами. Она также настраивает постоянство, копируя себя в определенное место и создавая правило udev, чтобы быть запущенной при определенных условиях.
Эта техника сохранения с использованием правил udev является малоизвестной и на данный момент не была задокументирована в MITRE ATT&CK. Вредоносное ПО "sedexp" активно использует эту технику и имеет финансовую мотивацию.
Indicators of Compromise
SHA256
- 43f72f4cdab8ed40b2f913be4a55b17e7fd8a7946a636adb4452f685c1ffea02
- 94ef35124a5ce923818d01b2d47b872abd5840c4f4f2178f50f918855e0e5ca2
- b981948d51e344972d920722385f2370caf1e4fac0781d508bc1f088f477b648
