اخیرا یک بدافزار لینوکسی به نام 'sedexp' شناسایی شده است که از سال ۲۰۲۲ به صورت مخفیانه با استفاده از تکنیک جدیدی که هنوز در چارچوب MITRE ATT&CK قرار نگرفته از شناسایی فرار میکند. این بدافزار به مهاجمان اجازه میدهد تا از راه دور به سیستم قربانی دسترسی پیدا کنند و هدف اصلی آن جمعآوری اطلاعات کارتهای اعتباری است. محققان اشاره میکنند که این بدافزار از سال ۲۰۲۲ بهطور فعال مورد استفاده قرار گرفته است. پیش از این، تنها دو موتور آنتی-ویروس توانسته بودند سه نمونه sedexp را به عنوان فایل مخرب شناسایی کنند.
بدافزار با نام kdevtmpfs در سیستم اجرا میشود که مشابه نام یک فرایند سیستمی معتبر است. به این ترتیب شناسایی آن با استفاده از روشهای متداول را دشوارتر میسازد. تکنیک استفاده شده در این بدافزار برای کسب ماندگاری در سیستم استفاده از قوانین udev است.
Udev یک مدیر دستگاههای جانبی برای کرنل لینوکس است. در فـایـل سیـستم لـیـنوکس، شـاخـهای بـه نام /dev وجود دارد که در آن تمامی ابزارهای سختافزاری سیستم لیست شدهاند. برای مثال پارتیشنهای دیسک سـخـت یــا درایـوهای CD-ROM با نشانی dev/hdX/ در این شاخه وجود دارند. قوانین udev، فایلهای پیکربندی متنی هستند که تعیین میکنند مدیر چگونه باید با دستگاهها یا رویدادهای خاص برخورد کند. این فایلها در مسیر '/etc/udev/rules.d/' یا '/lib/udev/rules.d/' قرار دارند. این قوانین شامل سه پارامتر هستند:
• عملیات مورد نظر ("ACTION== "add)
• نام دستگاه ("KERNEL== "sdb1)
• و اینکه چه اسکریپتی باید هنگام برآورده شدن شرایط مشخص اجرا شود ("RUN+="/path/to/script).
بدافزار sedexp قانون udev زیر را بر روی سیستمهای قربانی اضافه میکند:
ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"
هرگاه دستگاه جدیدی به سیستم اضافه شود این قانون فعال میشود و شرایط زیر را بررسی میکند:
• آیا مقدار ENV{MAJOR}، 1 است (این حالت مربوط به دستگاههایی مانند /dev/mem, /dev/null, و /dev/zero است.)
• سپس بررسی میکند آیا مقدار ENV{MINOR} عدد 8 است (این حالت مربوط به /dev/random است.)
در صورتی که این شرایط برقرار بود اسکریپت بدافزار asedexpb را اجرا میکند. این قانون تضمین میکند هرگاه dev/random/ در سیستم اجرا شود بدافزار اجرا میشود. dev/random/ یک جزء اساسی سیستم در لینوکس است و بسیاری از پردازهها و برنامهها برای اجرای عملیات رمزنگاری، ارتباطات امن و تولید اعداد تصادفی از آن استفاده میکنند. این فایل در هر مرتبه ریبوت سیستم عامل بارگذاری میشود و بنابراین ماندگاری بدافزار در سیستم را تضمین میکند.
علاوه بر این، بدافزار قابلیت دستکاری در حافظه را دارد تا فایلهایی که sedexp دارند را از نتیجه فرمانهای ls و find حذف کند و به این ترتیب فرایند شناسایی را دشوارتر کند.
اطلاعات سه نمونه از این بدافزار که تاکنون شناسایی شده به شرح زیر است:
SHA256 43f72f4cdab8ed40b2f913be4a55b17e7fd8a7946a636adb4452f685c1ffea02 SHA256 94ef35124a5ce923818d01b2d47b872abd5840c4f4f2178f50f918855e0e5ca2 SHA256 b981948d51e344972d920722385f2370caf1e4fac0781d508bc1f088f477b648
منبع خبر:
- 93