Malware Linux bernama "sedexp" yang advanced diketahui tidak terdeteksi perimeter keamanan sejak tahun 2022 dengan menggunakan teknik persisten yang belum tercantum dalam kerangka kerja MITRE ATT&CK.
Malware ini ditemukan oleh perusahaan manajemen risiko Stroz Friedberg, sebuah perusahaan Aon Insurance, dan memungkinkan operatornya untuk membuat reverse shell untuk akses remote dan mengeksekusi serangan lanjutan.
Malware ini bertahan melalui rule udev yakni sebuah sistem manajemen perangkat kernel Linux yang bertanggung jawab menangani node perangkat di direktori /dev.
Rule udev adalah file konfigurasi teks yang menentukan bagaimana manajer harus menangani perangkat atau peristiwa tertentu. Rule ini berisi tiga parameter yang menentukan penerapannya (ACTION== "add"), nama perangkat (KERNEL== "sdb1"), dan skrip apa yang harus dijalankan ketika kondisi yang ditentukan terpenuhi (RUN+="/path/to/script").
Malware sedexp menambahkan skrip rule udev berikut pada sistem yang disusupi: ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+.
Malware ini memiliki kemampuan memodifikasi isi memori untuk menyembunyikan file apa pun yang berisi string "sedexp" dari perintah standar seperti 'ls' atau 'find' sehingga kehadirannya di sistem tidak terlihat.
Selain itu, malware ini juga dapat menginjeksi kode berbahaya untuk mengubah perilaku aplikasi dan proses sistem yang ada.
Sumber:
https://www.bleepingcomputer.com
/news/security/stealthy-sedexp-
linux-malware-evaded-detection-
for-two-years/
Malware ini ditemukan oleh perusahaan manajemen risiko Stroz Friedberg, sebuah perusahaan Aon Insurance, dan memungkinkan operatornya untuk membuat reverse shell untuk akses remote dan mengeksekusi serangan lanjutan.
Malware ini bertahan melalui rule udev yakni sebuah sistem manajemen perangkat kernel Linux yang bertanggung jawab menangani node perangkat di direktori /dev.
Rule udev adalah file konfigurasi teks yang menentukan bagaimana manajer harus menangani perangkat atau peristiwa tertentu. Rule ini berisi tiga parameter yang menentukan penerapannya (ACTION== "add"), nama perangkat (KERNEL== "sdb1"), dan skrip apa yang harus dijalankan ketika kondisi yang ditentukan terpenuhi (RUN+="/path/to/script").
Malware sedexp menambahkan skrip rule udev berikut pada sistem yang disusupi: ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+.
Malware ini memiliki kemampuan memodifikasi isi memori untuk menyembunyikan file apa pun yang berisi string "sedexp" dari perintah standar seperti 'ls' atau 'find' sehingga kehadirannya di sistem tidak terlihat.
Selain itu, malware ini juga dapat menginjeksi kode berbahaya untuk mengubah perilaku aplikasi dan proses sistem yang ada.
Sumber:
https://www.bleepingcomputer.com
/news/security/stealthy-sedexp-
linux-malware-evaded-detection-
for-two-years/