Sedexp malware

Nemrég felfedeztek egy malware-t, ami 2 éve aktív és eddig sikeresen rejtette el magát a kereső algoritmusok elől. A sedexp-nek nevezett malware a udev szabályok használatával kapcsolódik a /dev/random betöltéséhez és egy reverse shellt indít. Az eddig feldezett példányok bankkártya adatok ellopásában segítettek.

[...]

A ’sedexp’ névre hallgató kifejezetten jól rejtőzködő linux malware 2022 óta sikeresen kerüli el a felismerést egy olyan persistence módszer alkalmazásával, ami még nincs benne a MITTRE ATT@CK keretrendszerben. A malware-t a kockázatkezeléssel foglalkozó Stroz Friedberg nevű cég fedezte fel. Lehetővé teszi a támadók számára, hogy reverse shellt hozzanak létre távoli hozzáféréshez, és így további támadásokat tesz lehetővé.

A malware a Linux kernel ’udev’ névre hallgató eszközkezelő rendszerét használja ki, ami a /dev könyvtárban található eszköz node-okért felelős. Ez a mappa olyan file-okat tartalmaz, amik a rendszer számára elérhető hardware elemeket reprezentálják, például tárolómeghajtókat, hálózati interfészeket vagy USB meghajtókat.

[...]

Forrás: 

 

Hozzászólások

Említésre méltó részlet: a sikeres 'elrejtőzéshez' root jogok szükségesek.

Ami pedig már eleve "Game Over" szituáció. De legalábbis a feltételezett támadó már eleve 'bármit' megtehet. ;)

 

szerintem.

Ez a rész igaz, viszont korábban is elhangzott már itt is (az AMD CPU sérülékenysége kapcsán), hogy ez már csak egy sikeres támadás 'befejezése', illetve a nyomok elrejtése úgy, hogy a támadónak kontrollja maradjon a gép felett.

Végül is ha kategorizálni akarjuk, akkor egy rootkit.

Még hogy Linuxra nincs malware, vírus stb. Önámítás. Az abszolút biztonság illúziója.

Az az igazság, hogy nincs, mert oké, ez most be lett harangozva, de bulvárszinten megint. Nincs ott, hogy hogyan terjed, mely rendszerek érintettek, kb. annyi a történet, hogy néhány rendszeren felfedezték, és kb. lófütyit se tudnak róla. Így kb. van is, nincs is kategória. Ennyi erővel én is tudok linuxos vírust írni, egy shell script, ami mindent letöröl, az egész rendszert, rm -rf / --no-preserve-root paranncsal, aztán verhetném a cicit, hogy linuxos vírus, rettegjen mindenki, közben meg nem lenne tisztázott, hogy hogyan juttatom a célgépekre.

Persze, azért gáz, aggasztó, nem mondom, de még ne temessük azonnal a Linuxot csak emiatt. Nálam Arch-on nem talált vonatkozó udev szabályt se a grep, se én, kézi keresséssel.

The world runs on Excel spreadsheets. (Dylan Beattie)

De, úgy néz ki. Törlés helyett belegondolhatsz mást is, futtat egy másik szkriptet, adatokat küld egy szerverre. Tudom, attól vírus, hogy szaporítja magát, terjed rendszerről rendszerre, és pont ez volt a mondanivalóm lényege, hogy ennél a Sedexp-izénél pont ezt nem tudják pontosan.

Nem baj, annyi pozitív hozadéka van az egésznek, hogy a víruskergetők, meg a rendszerüzemeltetők mostantól az udev-szabályokat is figyelni fogják.

The world runs on Excel spreadsheets. (Dylan Beattie)

Ez a klasszik definíció már rég nem játszik. Ma már egy csomó vírus önállóan is futásképtelen, és sokan ma már inkább összefoglaló kifejezésként használják, a féregre és az összes egyéb malware-re is. Bármi, ami negatív hatású, vagy nem kívánatos, és antivírus, anti-malware programokkal írtani, szűrni kell, az vírus.

The world runs on Excel spreadsheets. (Dylan Beattie)

Ha jól értem az egész történetben mindössze annyi az "újdonság", hogy egy mindig létező (/dev/random) eszközre illeszkedő udev rule-ra van bekötve a malware indítása. Nem systemd service, nem sysv init script, nem cronjob, vagy crontab entry, nem at job, nem user shell profile-ja, nem kernel modul, hanem ezúttal az udev ami elindítja a malware process-t. És ezekszerint a standard malware scannelő toolok ide eddig nem néztek be.

Régóta vágyok én, az androidok mezonkincsére már!

Ami azért sokat elmond a malware scannelő toolok minőségéről. :(

Ui: Meg kéne már csinálni egy normális, biztonságos desktop OS-t Snapdragon X Elite + GrapheneOS alapokon. A Google legnagyobb hibái közé tartozik, hogy a ChromeOS-t erőltetik ahelyett, hogy az Androidot vinnék tovább desktop irányba is beelőzve az Apple-t egy egységes mobil - desktop ecosystemmel.

linux desktopon használ valami vírusirtót, keresőt? És ha igen, melyiket? Központilag menedzselt, avagy egyénileg telepített és karbantartott?

önszántamból windows-on sem használnék, mert minek :D

Esemény után már szerintem késő vakarózni ;)

 

De céges Linux-os image-en pl microsoft Defender for Endpoint futkos - sok értelme nincs, de ők hisznek benne hogy ettől majd jobb lesz nekünk :)

Nem baj, úgyis csak ubuntun indul el, azon is csak a páros verziósakon! ;)

Hamarosan megtudjuk majd azt is, mit kell belassítani, Rust-ban újraírni és a Red Hat által vendor lock-in-elni ahhoz, hogy véletlenül se tudjon ilyen malware feltelepülni, még root jogokkal se.