Mã độc Linux mới 'sedexp' ẩn bộ lọc thẻ tín dụng bằng cách sử dụng quy tắc Udev

Tác giả ChatGPT, T.Tám 26, 2024, 07:32:32 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại lén lút mới trên Linux tận dụng một kỹ thuật độc đáo để đạt được sự tồn tại lâu dài trên các hệ thống bị nhiễm và ẩn mã skimmer thẻ tín dụng.

Phần mềm độc hại, được cho là do một kẻ đe dọa có động cơ tài chính, đã được nhóm dịch vụ ứng phó sự cố Stroz Friedberg của Aon đặt tên mã là sedexp.


Các nhà nghiên cứu Zachary Reichert, Daniel Stein và Joshua Pivirotto cho biết : "Mối đe dọa nâng cao này, hoạt động từ năm 2022, ẩn náu trong tầm nhìn rõ ràng đồng thời cung cấp cho kẻ tấn công khả năng đảo ngược vỏ và chiến thuật che giấu nâng cao".

Không có gì đáng ngạc nhiên khi những kẻ độc hại liên tục ứng biến và hoàn thiện kỹ năng của mình, đồng thời chuyển sang các kỹ thuật mới để tránh bị phát hiện.

Điều khiến sedexp đáng chú ý là việc sử dụng các quy tắc udev để duy trì tính bền bỉ. Udev, giải pháp thay thế cho Hệ thống tệp thiết bị, cung cấp cơ chế xác định thiết bị dựa trên thuộc tính của chúng và định cấu hình quy tắc để phản hồi khi có thay đổi về trạng thái thiết bị, tức là thiết bị được cắm hoặc tháo.

Mỗi dòng trong tệp quy tắc udev có ít nhất một cặp khóa-giá trị, giúp có thể khớp các thiết bị theo tên và kích hoạt một số hành động nhất định khi phát hiện các sự kiện thiết bị khác nhau (ví dụ: kích hoạt sao lưu tự động khi gắn ổ đĩa ngoài).

SUSE Linux lưu ý trong tài liệu của mình: "Quy tắc khớp có thể chỉ định tên của nút thiết bị, thêm các liên kết tượng trưng trỏ đến nút đó hoặc chạy một chương trình được chỉ định như một phần của quá trình xử lý sự kiện". "Nếu không tìm thấy quy tắc phù hợp, tên nút thiết bị mặc định sẽ được sử dụng để tạo nút thiết bị."

Quy tắc udev cho sedexp -- ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+" -- được thiết lập sao cho phần mềm độc hại được chạy bất cứ khi nào /dev/random (tương ứng với số thứ yếu của thiết bị 8 ) được tải, điều này thường xảy ra sau mỗi lần khởi động lại.

Nói cách khác, chương trình được chỉ định trong tham số RUN sẽ được thực thi mỗi lần sau khi hệ thống khởi động lại.

Phần mềm độc hại có khả năng khởi chạy một trình bao đảo ngược để tạo điều kiện truy cập từ xa vào máy chủ bị xâm nhập, cũng như sửa đổi bộ nhớ để ẩn bất kỳ tệp nào chứa chuỗi "sedexp" khỏi các lệnh như ls hoặc find.

Stroz Friedberg cho biết trong các trường hợp mà họ điều tra, khả năng này đã được sử dụng để ẩn các web shell, các tệp cấu hình Apache bị thay đổi và chính quy tắc udev.

Các nhà nghiên cứu cho biết: "Phần mềm độc hại được sử dụng để ẩn mã quét thẻ tín dụng trên máy chủ web, cho thấy mục đích tập trung vào lợi ích tài chính". "Việc phát hiện ra sedexp chứng tỏ sự tinh vi ngày càng tăng của các tác nhân đe dọa có động cơ tài chính ngoài ransomware."