Attenzione a Sedexp, il malware per Linux passato inosservato per due anni

Attenzione a Sedexp, il malware per Linux passato inosservato per due anni

Nascondendosi dietro un processo di sistema non monitorato, Sedexp è in circolazione da almeno due anni e utilizzato prevalentemente per scopo di lucro

di pubblicata il , alle 15:03 nel canale Sicurezza
Linux
 

Gli analisti di sicurezza di Stroz Friedberg, società di gestione del rischio sotto il cappello della multinazionale AOn, hanno individuato un malware Linux denominato sedexp, che è stato capace di nascondersi ai sistemi di rilevamento per ben due anni, impiegando inoltre una strategia e una tecnica di persistenza che ancora non è stata documentata nel framework MITRE ATT&CK.

Sedexp sfrutta udev, componente fondamentale per la gestione dei dispositivi nel kernel Linux. Udev si occupa di gestire dinamicamente i nodi dei dispositivi nella directory /dev, creando e rimuovendo file che rappresentano l'hardware del sistema, come unità di archiviazione o interfacce di rete. Sedexp sfrutta le regole di udev, inserendo una regola personalizzata che si attiva ogni volta che un nuovo dispositivo viene aggiunto al sistema e che è progettata per attivarsi in corrispondenza di /dev/random, un componente essenziale caricato all'avvio del sistema e utilizzato come generatore di numeri casuali da diverse app.

Sfruttando /dev/random come condizione di attivazione, gli aggressori assicurano che il malware venga eseguito frequentemente, nascondendosi al contempo dietro un processo di sistema critico che raramente viene monitorato dalle soluzioni di sicurezza.

Le capacità operative di sedexp sono altrettanto sofisticate quanto le sue tecniche di persistenza: il malware utilizza forkpty o pipe e un nuovo processo forkato per stabilire una shell inversa, consentendo agli aggressori di accedere da remoto al dispositivo compromesso. Vengono inoltre utilizzate tecniche di manipolazione della memoria così da occultare qualsiasi file contenente la stringa "sedexp" dai comandi standard come 'ls' o 'find', rendendo la sua presenza praticamente invisibile nel sistema. La possibilità di manipolare la memoria consente a sedexp di modificarne il contenuto, con la possibilità di iniettare codice dannoso o alterare il comportamento di applicazioni e processi di sistema in esecuzione.

Secondo i ricercatori di sicurezza si tratta di un malware verosimilmente impiegato per nascondere codice di scraping per carte di credito su server web compromessi, indicando pertanto un impiego specifico a scopo di lucro da parte degli attaccanti.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
aqua8426 Agosto 2024, 16:31 #1
Ok… ma… come te lo becchi??
phmk27 Agosto 2024, 13:23 #2

Inattaccabile Linux ...

E c'è chi ci crede ancora ...
marcram27 Agosto 2024, 14:46 #3
Originariamente inviato da: phmk
E c'è chi ci crede ancora ...

Chi, tu?
Perché sei l'unico che continua a ripeterlo ad ogni notizia su un malware Linux...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^