sedexpはステルス型マルウェアです。
どういったものなのでしょうか。
- 想定侵害環境はLinux
sedexpはLinux向けに作成されたマルウェアです。 - 目的は金銭
脅威アクターには様々な目的があります。
sedexpを使用する使用者は、金銭目的の動機がある脅威アクターだと考えられています。
sedexpはWebサーバー上にクレジットカードスクレイピングコードを置いていることを隠すように使用されました。 - 未分類の永続化手法
sedexpは設置されると永続化できる機構を搭載しています。
この永続化の手法が、これまでにないものとなっています。
sedexpはudevルールを悪用します。
udevはLinuxの動作する機器上でデバイスファイルを動的に管理するための仕組みで、ハードウェアがシステムに接続された際に対応するデバイスファイルを作成する役割を担っています。
このマルウェアは対象機器で/dev/randomがロードされるたびに実行されるように仕掛けられました。
/dev/randomはUnix系オペレーティングシステム (OS) における擬似デバイスの一種で、乱数生成器として機能するものです。
いくつもの機構の内部で利用されていますので、この /dev/randomのロードのたびに実行される仕掛けは十分に永続化の目的を果たすこととなってしまっています。
このマルウェアは調査してみると、2022年から存在していたようなのですが、この手法は現時点でもMITRE ATT&CKによって文書化されていません。 - リバースシェル機能
sedexpにはリバースシェルが含まれており、脅威アクターが侵害されたシステムを制御できるようになります。 - 隠ぺい機能
sedexpには自身の存在を隠すためのルートキットで提供されるような機能を搭載しています。
メモリを変更して、文字列「sedexp」を含むファイルをlsやfindなどのコマンドから隠します。
sedexpにおいてこの機能は、Webシェル、変更されたApacheの構成ファイル、udevルール自体を隠すために使用されました。
udevの機構を悪用して永続化しているのに加えて、そのudevのルールを見えなくされると、検出はかなり困難な状態になります。
MITRE ATT&CKには時間の経過とともに多くの情報が集められて文書化が継続的に実施されています。
しかし、そんなMITRE ATT&CKにもまだなかった手法が確認されたという話でした。
攻撃側は次々に新たな作戦をひねり出してきます。
防御側も構築済みの防御機構に頼るのみでなく、機構の改善を継続的に計画していく必要があるということになりそうです。
Unveiling “sedexp”: A Stealthy Linux Malware Exploiting udev Rules
https://www.aon.com/en/insights/cyber-labs/unveiling-sedexp
| この記事をシェア |
|
|---|
