سوء استفاده بدافزار لینوکسی Sedexp از قوانین udev در جهت ناشناخته ماندن

سوء استفاده بدافزار لینوکسی Sedexp از قوانین udev در جهت ناشناخته ماندن

تاریخ ایجاد

اخیرا یک بدافزار لینوکسی به نام 'sedexp' شناسایی شده است که از سال ۲۰۲۲ به صورت مخفیانه با استفاده از تکنیک جدیدی که هنوز در چارچوب MITRE ATT&CK قرار نگرفته از شناسایی فرار می‌کند. این بدافزار به مهاجمان اجازه می‌دهد تا از راه دور به سیستم قربانی دسترسی پیدا کنند و هدف اصلی آن جمع‏آوری اطلاعات کارت‏های اعتباری است. محققان اشاره می‌کنند که این بدافزار از سال ۲۰۲۲ به‌طور فعال مورد استفاده قرار گرفته است. پیش از این، تنها دو موتور آنتی-ویروس توانسته بودند سه نمونه sedexp را به عنوان فایل مخرب شناسایی کنند.
بدافزار با نام kdevtmpfs در سیستم اجرا می‎‏شود که مشابه نام یک فرایند سیستمی معتبر است. به این ترتیب شناسایی آن با استفاده از روش‌های متداول را دشوارتر می‌سازد. تکنیک استفاده شده در این بدافزار برای کسب ماندگاری در سیستم استفاده از قوانین udev است.
Udev یک مدیر دستگاه‌های جانبی برای کرنل لینوکس است. در فـایـل سیـستم لـیـنوکس، شـاخـه‌ای بـه نام /dev وجود دارد که در آن تمامی ابزارهای سخت‏افزاری سیستم لیست شده‌اند. برای مثال پارتیشن‌های دیسک سـخـت یــا درایـوهای CD-ROM با نشانی dev/hdX/ در این شاخه وجود دارند. قوانین udev، فایل‌های پیکربندی متنی هستند که تعیین می‌کنند مدیر چگونه باید با دستگاه‌ها یا رویدادهای خاص برخورد کند. این فایل‌ها در مسیر '/etc/udev/rules.d/' یا '/lib/udev/rules.d/' قرار دارند. این قوانین شامل سه پارامتر هستند:
•    عملیات مورد نظر ("ACTION== "add)
•    نام دستگاه ("KERNEL== "sdb1)
•    و اینکه چه اسکریپتی باید هنگام برآورده شدن شرایط مشخص اجرا شود ("RUN+="/path/to/script).
 

بدافزار sedexp قانون udev زیر را بر روی سیستم‌های قربانی اضافه می‌کند:
ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"
هرگاه دستگاه جدیدی به سیستم اضافه شود این قانون فعال می‌شود و شرایط زیر را بررسی می‏کند:  
•    آیا مقدار ENV{MAJOR}، 1 است (این حالت مربوط به دستگاه‏هایی مانند /dev/mem, /dev/null, و  /dev/zero است.)
•    سپس بررسی می‏کند آیا مقدار ENV{MINOR} عدد 8 است (این حالت مربوط به /dev/random است.)

در صورتی که این شرایط برقرار بود اسکریپت بدافزار asedexpb را اجرا می‌کند. این قانون تضمین می‏کند هرگاه dev/random/ در سیستم اجرا شود بدافزار اجرا می‏شود. dev/random/ یک جزء اساسی سیستم در لینوکس است و بسیاری از پردازه‏ها و برنامه‏ها برای اجرای عملیات رمزنگاری، ارتباطات امن و تولید اعداد تصادفی از آن استفاده می‏کنند. این فایل در هر مرتبه ریبوت سیستم عامل بارگذاری می‏شود و بنابراین ماندگاری بدافزار در سیستم را تضمین می‏کند.  
علاوه بر این، بدافزار قابلیت دستکاری در حافظه را دارد تا فایل‏هایی که sedexp دارند را از نتیجه فرمان‏های ls و find حذف کند و به این ترتیب فرایند شناسایی را دشوارتر کند.
اطلاعات سه نمونه از این بدافزار که تاکنون شناسایی شده به شرح زیر است:

SHA256    43f72f4cdab8ed40b2f913be4a55b17e7fd8a7946a636adb4452f685c1ffea02
SHA256    94ef35124a5ce923818d01b2d47b872abd5840c4f4f2178f50f918855e0e5ca2
SHA256    b981948d51e344972d920722385f2370caf1e4fac0781d508bc1f088f477b648

منبع خبر:


https://cybersecuritynews.com/linux-malware-sedexp