El malware oculto 'sedexp' para Linux evadió la detección durante dos años

Iniciado por AXCESS, Agosto 26, 2024, 04:52:14 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 26, 2024, 04:52:14 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un malware sigiloso para Linux llamado 'sedexp' ha estado evadiendo la detección desde 2022 mediante el uso de una técnica de persistencia que aún no está incluida en el marco MITRE ATT&CK.

El malware fue descubierto por la empresa de gestión de riesgos Stroz Friedberg, una compañía de seguros de Aon, y permite a sus operadores crear shells inversos (reverse shells) para el acceso remoto y promover el ataque.

"En el momento de escribir este artículo, la técnica de persistencia utilizada (reglas udev) no está documentada por MITRE ATT&CK", señalan los investigadores, destacando que sedexp es una amenaza avanzada que se esconde a simple vista.

Persistencia mediante reglas udev

'udev' es un sistema de gestión de dispositivos para el kernel de Linux responsable de gestionar los nodos de dispositivos en el directorio /dev, que contiene archivos que representan los componentes de hardware disponibles en el sistema, como unidades de almacenamiento, interfaces de red y unidades USB.

Los archivos de nodo se crean y eliminan dinámicamente cuando el usuario conecta o desconecta dispositivos, mientras que udev también se encarga de la carga de los controladores adecuados.

Las reglas de Udev son archivos de configuración de texto que dictan cómo el administrador debe manejar ciertos dispositivos o eventos, ubicados en '/etc/udev/rules.d/' o '/lib/udev/rules.d/'.

Estas reglas contienen tres parámetros que especifican su aplicabilidad (ACTION== "add"), el nombre del dispositivo (KERNEL== "sdb1") y qué script ejecutar cuando se cumplen las condiciones especificadas (RUN+="/path/to/script").

El malware sedexp agrega la siguiente regla de udev en los sistemas comprometidos:

ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"

Esta regla se activa cada vez que se agrega un nuevo dispositivo al sistema, verificando si sus números mayor y menor coinciden con '/dev/random', que se carga al iniciar el sistema y se usa como generador de números aleatorios por múltiples aplicaciones y procesos del sistema.

El componente de regla final (RUN+= "asedexpb run:+") ejecuta el script del malware 'asedexpb', por lo que al establecer /dev/random como condición previa, los atacantes se aseguran de que el malware se ejecute con frecuencia.

Lo más importante es que /dev/random es un componente esencial del sistema en Linux que las soluciones de seguridad no monitorean. Por lo tanto, su abuso garantiza la evasión del malware.

Establecer persistencia en el sistema
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Principales capacidades operativas

El malware denomina a su proceso "kdevtmpfs", que imita un proceso legítimo del sistema, lo que lo hace aún más complicado de detectar con métodos convencionales.

Nomenclatura de procesos para combinar con las operaciones del sistema
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

En cuanto a sus capacidades operativas, el malware utiliza forkpty o pipes y un nuevo proceso bifurcado para configurar un shell inverso para que el atacante acceda de forma remota al dispositivo infectado.

Sedexp también emplea técnicas de manipulación de memoria para ocultar cualquier archivo que contenga la cadena "sedexp" de comandos estándar como 'ls' o 'find', ocultando así su presencia en el sistema.

También puede modificar el contenido de la memoria para inyectar código malicioso o alterar el comportamiento de aplicaciones y procesos del sistema existentes.

Los investigadores mencionan que el malware se ha utilizado de forma activa desde al menos 2022. Lo encontraron presente en muchos sandboxes en línea y sin ser detectado (en VirusTotal solo dos motores antivirus marcan como maliciosos los tres ejemplos de sedexp disponibles en el informe).

Según Stroz Friedberg, el malware se ha utilizado para ocultar el código de raspado de tarjetas de crédito en servidores web comprometidos de un servidor web, lo que indica la participación en ataques con motivaciones económicas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario