O pesquisador Stroz Friedberg identificou recentemente, durante uma investigação, um malware apelidado de “sedexp” fazendo uso de uma técnica de persistência Linux pouco conhecida. Apesar do malware estar em uso desde pelo menos 2022, Stroz Friedberg encontrou várias instâncias disponíveis em sandboxes online com zero detecções. No momento da redação deste artigo, a técnica de persistência usada não estava documentada pela MITRE ATT&CK.
Leia também
30 dias, 60 milhões de tentativas de plantar malware
Malware desligou aquecimento de 600 residências
O Sedexp utiliza regras do udev para manter a persistência. O malware esconde as regras utilizando técnicas de manipulação de memória detalhadas posteriormente neste post.
udev é um sistema de gerenciamento de dispositivos para o kernel Linux, responsável por gerenciar nós de dispositivos no diretório /dev. Ele cria ou remove dinamicamente arquivos de nós de dispositivos, manipula eventos hotplug para configurar novos dispositivos e carrega drivers conforme necessário. As regras do udev são arquivos de configuração usados pelo udev para combinar dispositivos e executar ações em resposta a eventos como adicionar ou remover dispositivos.
Por exemplo, quando um dispositivo USB é conectado, o udev usa regras para determinar os drivers adequados para carregar e quais ações tomar. Essas regras são armazenadas em arquivos normalmente encontrados em /etc/udev/rules.d/ ou /lib/udev/rules.d/. Cada regra consiste em condições para combinar dispositivos específicos e ações correspondentes a serem executadas.
Leia mais em: https://www.aon.com/en/insights/cyber-labs/unveiling-sedexp
