FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全研究人员发现了一种新的隐秘 Linux 恶意软件，它利用一种非常规技术在受感染系统上实现持久性，并隐藏信用卡盗刷代码。

Aon 的 Stroz Friedberg 事件响应服务团队将这款恶意软件命名为 sedexp，认为它是一个有经济动机的威胁行为者所为。

研究人员 Zachary Reichert、Daniel Stein 和 Joshua Pivirotto 表示："这种高级威胁自 2022 年开始活跃，它隐藏在众目睽睽之下，同时为攻击者提供反向 shell 功能和高级隐藏战术。

恶意行为者不断改进和完善他们的技术，并转而使用新技术来逃避检测，这并不奇怪。

sedexp 之所以值得关注，是因为它使用了 udev 规则来保持持久性。Udev 是设备文件系统（Device File System）的替代品，它提供了一种机制，可根据设备属性识别设备，并配置规则，以便在设备状态发生变化（即设备被插入或移除）时做出响应。

udev 规则文件中的每一行都至少有一个键值对，因此可以通过名称匹配设备，并在检测到各种设备事件时触发特定操作（例如，在连接外部硬盘时触发自动备份）。

SUSE Linux 在其文档中指出："匹配规则可以指定设备节点的名称，添加指向该节点的符号链接，或运行指定程序作为事件处理的一部分。如果找不到匹配规则，则使用默认设备节点名称创建设备节点。“

sedexp的udev规则——ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"——是这样设置的：每当/dev/random（对应设备次要编号8）加载时，就会运行恶意软件，这通常发生在每次重启时。

sedexp 的 udev 规则--ACTION==“add”, ENV{MAJOR}==“1”, ENV{MINOR}==“8”, RUN+=“asedexpb run:+” --设置为每当加载 /dev/random（对应设备次要序号 8）时运行恶意软件，这通常发生在每次重启时。

换句话说，每次系统重启后都会执行 RUN 参数中指定的程序。

该恶意软件具有启动反向 shell 的功能，以方便远程访问被入侵的主机，还能修改内存，从 ls 或 find 等命令中隐藏任何包含 “sedexp ”字符串的文件。

Stroz Friedberg 表示，在它调查的案例中，该功能被用来隐藏 web shell 、更改 Apache 配置文件和 udev 规则本身。

研究人员说："该恶意软件被用于在网络服务器上隐藏信用卡刮取代码，这表明该恶意软件的重点是经济收益。“sedexp 的发现表明，除了勒索软件之外，出于经济动机的威胁行为者的复杂性也在不断发展。

参考来源：

https://thehackernews.com/2024/08/new-linux-malware-sedexp-hides-credit.html

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022