Linux sistemleri kritik sunucularda ve altyapılarda yaygın olarak kullanıldığından, bilgisayar korsanları genellikle Linux kötü amaçlı yazılımlarını kötüye kullanırlar.
Linux’taki güvenlik açıklarından yararlanan tehdit aktörleri, bu sistemler üzerinde tam kontrole sahip olabilir ve kötü amaçlı yazılımlar dağıtarak ve botnetler oluşturarak çeşitli kötü amaçlı faaliyetler yürütebilir.
AON’den Stroz Friedberg, 2022’den beri hiç tespit edilemeyen gizli bir Linux kötü amaçlı yazılımı olan ‘Sedexp’i keşfetti.
Gizli Linux Kötü Amaçlı Yazılımı
Sedexp, kalıcılık için Linux’taki udev kurallarını kullanır ve tespit edilmekten kaçınmak için belleği manipüle eder ve bu kuralları eskisinden daha gelişmiş yöntemler kullanarak gizler.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
/dev dizinindeki aygıt düğümlerini dinamik olarak yöneten, hotplug olaylarına yanıt veren ve gerekli sürücüleri yükleyen Linux işletim sistemi çekirdeğinin aygıt yönetim sistemidir.
Bu dosyalar /etc/udev/rules.d/ veya /lib/udev/rules.d/ dizininde saklanır. Aygıtları eşleştirir ve bir aygıt eklenmesi veya kaldırılması gibi bir şey olduğunda işlem yapar.
Her kural, aşağıdaki gibi bir sözdizimini izleyen birkaç koşul ve ilgili eylemlerden oluşur:
- EYLEM==”ekle”
- ÇEKİRDEK==”sdb1″
- ÇALIŞTIR+=”/yol/komut/dosyası”
Sdb1 adlı herhangi bir aygıt eklenirse, betiği yürütün. Geleneksel teknikler bu şekilde önlenebilirken, Sedexp bu kuralları karıştırır ve bu da sistemde kalıcı bir varlığın sürdürülmesine yardımcı olur.
Kötü amaçlı yazılım, sistemde varlığını sürdürebilmek için udev kurallarını kullanır ve bilgisayar yeniden başlatıldıktan sonra /dev/random (major=1, minor=8) komutunu çalıştırmaya odaklanır.
“ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+”” udev kuralı “sedexp” adlı zararlı yazılımı tetikliyor.
Bunun dışında temel özellikler şunlardır:-
- Ters kabuk yeteneği
- “sedexp” içeren dosyaları ls ve find komutlarından gizlemek için bellek değişikliği
Kötü amaçlı yazılım, meşru süreçlere karşılık gelmek için prctl(PR_SET_NAME, “kdevtmpfs”, 0, 0, 0) kullanarak kendini “kdevtmpfs” olarak gizler.
Kendisini /lib/udev/ dizinine kopyalayıp /etc/udev/rules.d/ dizininde bir udev kuralı oluşturarak kalıcılığını sağlar.
Burada saldırgana geri bağlanmak için ters kabuk işlevi soket programlamayı (AF_INET, SOCK_STREAM) kullanır, çünkü bu /bin/sh’yi çalıştırmadan önce STDIN, STDOUT ve STDERR’yi sokete yönlendirir.
Kötü amaçlı yazılımın kodunda şu şeyler yer alıyor:
- bellek tahsisi (calloc)
- argüman işleme (strdup, memset)
- dosya işlemleri (readlink, fopen, fprintf)
- sistem çağrıları (sistem, execl)
Sadece bununla kalmayıp ters kabuk için ağ programlamayı (socket, connect, htons, inet_addr) da kullanır.
Bu karmaşık yaklaşım, kötü amaçlı yazılımın daha gizli ve kalıcı olmasını sağlıyor; bu da tespit edilmesini zorlaştırıyor.
Sedexp kötü amaçlı yazılımı, Linux sistemlerinde kalıcılığı sürdürmek için udev kurallarını kullanan finansal amaçlarla yönlendirilen bir aktör tarafından kullanıldı. Stroz Friedberg, 2022’den beri aktif olduğunu ve web sunucularındaki kredi kartı kazıma kodunu kapsadığını söyledi.
OSINT analizi sonucunda, çevrimiçi deneme ortamlarında herhangi bir tespit kaydının bulunmadığını gösteren ve dolayısıyla gizliliği vurgulayan birkaç kötü amaçlı yazılım örneği bulundu.
Bu tür gelişmiş tehditleri etkili bir şekilde azaltmak için kuruluşların güvenliklerine yönelik kapsamlı bir yaklaşıma sahip olmaları gerekir.
IoC’ler
| SHA256 | 43f72f4cdab8ed40b2f913be4a55b17e7fd8a7946a636adb4452f685c1ffea02 |
| SHA256 | 94ef35124a5ce923818d01b2d47b872abd5840c4f4f2178f50f918855e0e5ca2 |
| SHA256 | b981948d51e344972d920722385f2370caf1e4fac0781d508bc1f088f477b648 |
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial