3min Security

Sedexp-malware verbergt zich jarenlang ongezien in Linux-kernel

Onwenselijk cadeau voor jarige job Linux

Sedexp-malware verbergt zich jarenlang ongezien in Linux-kernel

De Linux-malwarevariant ‘sedexp’ heeft twee jaar lang detectie weten te omzeilen. Dit door zich in specifieke functies binnen de Linux-kerel te verbergen, ontdekten securityspecialisten onlangs.

De Linux-malwarevariant is ontdekt door de risicomanagement-specialisten van Stroz Rietberg, onderdeel van het AON-concern. Deze bleek al sinds 2022 actief en gebruikt een voorheen onbekende persistence-techniek.

Hierdoor kon de malware de afgelopen jaren ongemerkt opereren, geven de onderzoekers aan. Gegevens hierover waren daarom tot nu toe nog niet aanwezig in het MITRE ATT&CK-framework.

De sedexp-malware maakt het hackers mogelijk om zogenoemde ‘reverse shells’ aan te maken voor toegang op afstand tot systemen en om aanvallen verder op weg te helpen. De malware richt zich vooral op het scrapen van creditcard-informatie van gecompromitteerde webservers en vervolgens het verder doorvoeren van aanvallen.

Aanvalstechniek

Dat de malware de afgelopen twee jaar niet is ontdekt, komt doordat sexedep de zogenoemde ‘udev rules’ misbruikt. ‘Udev’ is een device management system voor de Linux-kernel en verantwoordelijk voor de device nodes in the /dev directory. Deze directory bevat bestanden de beschikbare hardware binnen een systeem of server aangeven.

Deze ‘node’-bestanden worden dynamisch aangemaakt en verwijderd bij het verbinden en ontkoppelen van devices. Daarnaast verzorgt de udev-optie in Linux ook het laden van de noodzakelijke drivers voor deze hardware.

Meer specifiek zijn udev rules zogenoemde tekstconfigratiebestanden die aangeven hoe de beheerder om moet gaan met bepaalde devices of events. Deze zijn opgeslagen in de ‘/etc/udev/rules.d/’- of ‘/lib/udev/rules.d/-locaties.

Deze regels hebben drie parameters die de speciale functionaliteit aangeven, namelijk ‘ACTION==”add”,  de naam van het betreffende device (KERNEL==”sdb1”) en welk script moet worden gedraaid bij specifieke condities; (RUN+=”/path/to/script”).

In hun actie wisten de hackers de undev-rule ‘ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” aan gecompromitteerde systemen toe te voegen die ervoor zorgt dat elke keer wanneer een nieuw device aan een systeem komt te hangen, er wordt gecheckt of de hoogste en laagste nummers gelijk zijn aan ‘/dev/random’. Deze opdracht wordt geladen bij de system boot en als een willekeurige nummergenerator door meerdere applicaties en systeemprocessen gebruikt.

De genoemde /dev/random-component binnen Linux wordt juist niet door securityoplossingen gemonitord, zodat deze malware makkelijk verborgen blijft.

Operationele werking malware

De malware zorgt uiteindelijk voor een zogenoemd ‘kdvtmpfs’-proces dat zich als een legitiem systeemproces voordoet. Hiermee mixt het zichzelf samen met andere ‘normale’ activiteiten en is het nog eens moeilijker het met conventionele methoden te ontdekken, geven de onderzoekers verder aan.

De malware  gebruikt tijdens deze operationele processen forkpty of pipes en een geforkt nieuw process voor het opzetten van een reverse shell. Met deze reverse shell kunnen de aanvallers dan op afstand toegang krijgen tot een getroffen system.

Daarnaast gebruikt de aangetroffen sedexp-malware verschillende technieken voor het manipuleren van geheugen. Dit om ieder bestand dat de sedexp-string bevat te verbergen voor standaardcommando’s als ‘ls’ of ‘fint’. Ook hiermee wordt de aanwezigheid van de malware op een systeem verborgen.

Veder kan de sedexp-malware ook geheugeninhoud aanpassen voor het injecteren van kwaadaardige code of om het gedrag van bestaande applicaties en systeemprocessen te veranderen.

Tegenmaatregelen

Als tegenmaatregel stellen de onderzoekers dat bedrijven continu hun detectiemogelijkheden voor dit soort aanvallen moeten updaten, duidelijke securitymaatregelen nemen om deze aanvallen tegen te gaan en experts inschakelen voor het uitvoeren van forensisch onderzoek om mogelijke gecompromitteerde servers te ontdekken.

Lees ook: xz-backdoor toont hoe kwetsbaar open-source is voor hackers met lange adem