新型 Linux 恶意软件 ”sedexp” 利用 udev 规则隐藏信用卡盗刷器

网络安全研究人员发现了一种新的隐蔽 Linux 恶意软件，它利用一种非常规技术在受感染系统上实现持久性并隐藏信用卡盗取器代码。

该恶意软件归因于出于经济动机的威胁行为者，Aon 的 Stroz Friedberg 事件响应服务团队将其代号为 sedexp。

“这种高级威胁自 2022 年以来一直活跃，隐藏在众目睽睽之下，同时为攻击者提供反向外壳能力和高级隐藏策略，”研究人员 Zachary Reichert、Daniel Stein 和 Joshua Pivirotto 说。

恶意行为者不断即兴创作和改进他们的交易技巧，并转向新技术来逃避检测，这并不奇怪。

sedexp 值得注意的是它使用 udev 规则来保持持久性。Udev 是设备文件系统的替代品，它提供了一种机制，可以根据设备的属性识别设备，并配置规则以在设备状态发生变化时做出响应，即设备入或移除。

udev 规则文件中的每一行都至少有一次键值对，从而可以按名称匹配设备，并在检测到各种设备事件时触发某些操作（例如，在连接外部驱动器时触发自动备份）。

“匹配规则可以指定设备节点的名称，添加指向节点的符号链接，或者在事件处理过程中运行指定的程序，”SUSE Linux 在其文档中指出。“如果未找到匹配的规则，则使用默认设备节点名称创建设备节点。”

sedexp 的 udev 规则 — ACTION==“add”， ENV{MAJOR}==“1”， ENV{MINOR}==“8”， RUN+=“asedexpb run：+” — 设置为每当加载 /dev/random（对应于设备次要编号 8）时运行恶意软件，这通常在每次重新启动时发生。

换句话说，RUN 参数中指定的程序在每次系统重启后执行。

该恶意软件具有启动反向 shell 以促进远程访问受感染主机的功能，以及修改内存以从 ls 或 find 等命令中隐藏任何包含字符串“sedexp”的文件。

Stroz Friedberg 表示，在它调查的实例中，该功能已被用于隐藏 Web shell、更改的 Apache 配置文件和 udev 规则本身。

“该恶意软件被用来在 Web 服务器上隐藏信用卡抓取代码，表明专注于经济利益，”研究人员说。“sedexp 的发现表明，除了勒索软件之外，出于经济动机的威胁行为者已经越来越复杂。”