一种ATT&CK 尚未收录的持久化技术

一种名为“sedexp”的隐秘 Linux 恶意软件自 2022 年以来一直在使用 MITRE ATT&CK 框架中尚未包含的持久性技术来逃避检测。

该恶意软件是由 Aon 保险公司旗下的风险管理公司 Stroz Friedberg 发现的，它允许其运营商创建用于远程访问的反向 shell 并进一步发起攻击。

研究人员指出：“在撰写本文时，所使用的持久性技术（udev 规则）尚未被 MITRE ATT&CK 记录下来”，并强调 sedexp 是一种隐藏在普通站点中的高级威胁。

通过 udev 规则持久化

“ udev ”是 Linux 内核的设备管理系统，负责处理 /dev 目录中的设备节点，其中包含代表系统上可用的硬件组件的文件，例如存储驱动器、网络接口和 USB 驱动器。

当用户连接/断开设备时，节点文件会动态创建和删除，而udev还负责适当驱动程序的加载。

Udev 规则是文本配置文件，规定管理器应如何处理某些设备或事件，位于“/etc/udev/rules.d/”或“/lib/udev/rules.d/”。

这些规则包含三个参数，指定其适用性（ACTION==“add”）、设备名称（KERNEL==“sdb1”）以及在满足指定条件时运行什么脚本（RUN+="/path/to/script”）。

sedexp 恶意软件在受感染的系统上添加了以下 udev 规则：

ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"

每当有新设备添加到系统时，都会触发此规则，检查其主设备号和次设备号是否与“/dev/random”匹配，后者在系统启动时加载并被多个应用程序和系统进程用作随机数生成器。

最后的规则组件（RUN+=“asedexpb run:+”）执行恶意软件的脚本“asedexpb”，因此通过将/dev/random设置为先决条件，攻击者确保恶意软件频繁运行。

最重要的是，/dev/random 是 Linux 上必不可少的系统组件，但安全解决方案并未对其进行监控。因此，滥用 /dev/random 可确保恶意软件逃脱攻击。

主要作战能力

该恶意软件将其进程命名为“kdevtmpfs”，模仿合法的系统进程，进一步融入正常活动，使其更难使用常规方法检测到。

至于其操作能力，该恶意软件使用forkpty或管道和分叉的新进程来设置反向shell，以便攻击者远程访问受感染的设备。

Sedexp 还采用内存操纵技术来隐藏任何包含字符串“sedexp”的文件，使其无法通过“ls”或“find”等标准命令找到，从而隐藏其在系统中的存在。

它还可以修改内存内容以注入恶意代码或改变现有应用程序和系统进程的行为。

研究人员提到 ，该恶意软件至少自 2022 年以来就已在野外使用。他们发现它存在于许多在线沙箱中，但未被检测到（在 VirusTotal 上，只有两个防病毒引擎将报告中提供的三个 sedexp 样本标记为恶意）。

据 Stroz Friedberg 称，该恶意软件已被用来在被入侵的网络服务器上隐藏信用卡抓取代码，表明其参与了以经济为动机的攻击。

技术详情：

https://www.aon.com/en/insights/cyber-labs/unveiling-sedexp

原文始发于微信公众号（独眼情报）：一种ATT&CK 尚未收录的持久化技术