Sedexp-Malware nutzt Linux udev-Regeln für Tarnung und Kontrolle

Sie befinden sich: Home > News Archiv > Internet > Sedexp-Malware nutzt...

Die neu entdeckte Malware "sedexp" nutzt Linux udev-Regeln, um sich hartnäckig im System zu verankern und unentdeckt zu bleiben. Diese seit 2022 aktive Bedrohung wurde kürzlich von Stroz Friedberg identifiziert und offenbart die ausgeklügelten Methoden, mit denen finanziell motivierte Angreifer agieren.

Hintergrund zur Entdeckung von sedexp

In einer aufsehenerregenden Entdeckung hat das Cybersecurity-Unternehmen Stroz Friedberg eine bislang unbekannte Malware identifiziert, die unter dem Namen "sedexp" bekannt wurde. Diese hochentwickelte Bedrohung nutzt eine wenig dokumentierte und äußerst raffinierte Methode, um sich auf Linux-Systemen dauerhaft einzunisten und dabei unentdeckt zu bleiben. Diese Entdeckung beleuchtet die zunehmende Raffinesse, mit der finanzmotivierte Bedrohungsakteure ihre Angriffe durchführen.

Die Malware, die erstmals 2022 auftauchte, macht sich eine besondere Technik zunutze, die bisher in der IT-Sicherheitswelt nur selten thematisiert wurde: die Persistenz über udev-Regeln. Diese Entdeckung ist von großer Bedeutung, da sie zeigt, dass Angreifer zunehmend auf wenig bekannte Techniken zurückgreifen, um ihre Aktivitäten vor den Sicherheitsmechanismen moderner IT-Systeme zu verbergen.

Weitere Details und Einblicke in die Untersuchung können Sie auf der Website von Aon Cyber Labs nachlesen.

Was sind udev-Regeln und warum sind sie wichtig?

Udev ist ein zentraler Bestandteil des Linux-Betriebssystems, verantwortlich für die Verwaltung von Gerätedateien im `/dev`-Verzeichnis. Wenn ein Gerät, wie zum Beispiel ein USB-Stick oder eine Festplatte, an ein Linux-System angeschlossen wird, sorgt udev dafür, dass die entsprechenden Gerätedateien erstellt und die notwendigen Treiber geladen werden. Diese Aufgabe ist für den reibungslosen Betrieb eines Linux-Systems von entscheidender Bedeutung.

Die Verwaltung dieser Prozesse erfolgt über sogenannte udev-Regeln. Diese Regeln bestimmen, wie das System auf bestimmte Geräteereignisse reagiert. Beispielsweise kann eine Regel festlegen, dass ein Skript ausgeführt wird, sobald ein bestimmtes Gerät angeschlossen wird. Diese Flexibilität macht udev zu einem mächtigen Werkzeug, das jedoch auch von Malware-Autoren ausgenutzt werden kann, um unerwünschte Aktionen im Hintergrund auszuführen, ohne dass der Nutzer oder Sicherheitsmechanismen etwas davon bemerken.

In den meisten Fällen werden udev-Regeln in den Verzeichnissen `/etc/udev/rules.d/` oder `/lib/udev/rules.d/` abgelegt und von dort aus überwacht.

Wie sedexp udev-Regeln für seine Zwecke nutzt

Die von Stroz Friedberg entdeckte sedexp-Malware macht sich diese udev-Regeln zunutze, um sich nach einem Neustart des Systems wieder in den Arbeitsspeicher zu laden und ihre bösartige Aktivität fortzusetzen. Dies geschieht, indem die Malware eine Regel erstellt, die sicherstellt, dass sie jedes Mal ausgeführt wird, wenn ein bestimmtes Systemereignis eintritt, wie zum Beispiel das Laden einer bestimmten Gerätedatei.

Auf diese Weise kann die Malware nicht nur ihren Code ausführen, sondern auch sicherstellen, dass sie nach einem Neustart des Systems weiterhin aktiv bleibt - eine Taktik, die es Sicherheitslösungen erschwert, die Malware vollständig zu entfernen. Zudem wird diese Persistenzmethode durch ihre geringe Bekanntheit noch effektiver, da sie in den meisten Sicherheitsdatenbanken nicht erfasst ist und somit leichter an gängigen Erkennungsmechanismen vorbeikommt.

Die raffinierten Fähigkeiten der sedexp-Malware

Sedexp ist jedoch mehr als nur eine einfache Malware, die auf Persistenz setzt. Ihre Fähigkeiten gehen weit darüber hinaus und zeigen die hohe Professionalität und Zielstrebigkeit der Angreifer. Eine der bemerkenswertesten Funktionen von sedexp ist ihre Fähigkeit, einen sogenannten Reverse Shell-Angriff auszuführen. Hierbei handelt es sich um eine Technik, bei der die Malware eine Verbindung vom infizierten System zu einem vom Angreifer kontrollierten Server aufbaut. Diese Verbindung erlaubt es dem Angreifer, Befehle auf dem infizierten System auszuführen, als säße er direkt davor. Dies ist besonders gefährlich, da der Angreifer auf diese Weise die vollständige Kontrolle über das System erlangen kann.

Darüber hinaus verfügt die Malware über ausgeklügelte Mechanismen, um ihre Präsenz vor den Augen von Sicherheitstools und Systemadministratoren zu verbergen. Dies geschieht unter anderem durch die Manipulation von Speicherbereichen, um Dateien und Prozesse, die mit der Malware in Verbindung stehen, unsichtbar zu machen. So konnte sedexp beispielsweise Webshells und modifizierte Konfigurationsdateien auf einem Webserver verstecken, ohne dass dies bei einer normalen Überprüfung aufgefallen wäre.

Wer steckt hinter der sedexp-Malware?

Während die technischen Details von sedexp beeindruckend sind, ist die Frage nach den Urhebern dieser Malware von gleicher Bedeutung. Die bisherige Analyse deutet darauf hin, dass die Angriffe von einem finanziell motivierten Bedrohungsakteur durchgeführt werden. Dies zeigt sich unter anderem daran, dass sedexp verwendet wurde, um Kreditkarten-Skimming-Code auf einem Webserver zu verstecken. Diese Methode, bei der sensible Kreditkartendaten abgefangen und an die Angreifer weitergeleitet werden, ist typisch für Kriminelle, die auf finanzielle Bereicherung abzielen.

Warum diese Entdeckung so bedeutend ist

Die Entdeckung von sedexp zeigt einmal mehr, dass die Bedrohungslandschaft ständig im Wandel ist und Angreifer immer neue Methoden finden, um an ihr Ziel zu gelangen. Während Sicherheitslösungen und IT-Experten ihre Maßnahmen kontinuierlich verbessern, entwickeln auch die Angreifer neue Taktiken, um ihre Ziele zu erreichen. Die Nutzung von udev-Regeln zur Persistenz ist ein perfektes Beispiel dafür, wie fortschrittlich und kreativ die Methoden von Cyberkriminellen geworden sind.

Für Unternehmen und Organisationen bedeutet dies, dass sie ihre Sicherheitsmaßnahmen kontinuierlich überprüfen und anpassen müssen. Es reicht nicht aus, sich auf bekannte Bedrohungen zu konzentrieren - auch neue und unerwartete Angriffsmethoden müssen berücksichtigt werden. Dies erfordert nicht nur technisches Wissen, sondern auch die Bereitschaft, sich kontinuierlich weiterzubilden und auf dem neuesten Stand der Bedrohungsforschung zu bleiben.

Ihr Input zählt!

Was denken Sie über diese neue Bedrohung? Haben Sie ähnliche Erfahrungen mit Linux-basierten Angriffen gemacht oder kennen Sie weitere seltene Persistenztechniken? Teilen Sie Ihre Gedanken und Erfahrungen mit uns in den Kommentaren!

neu kontrolle entdeckte nutzt aktive

Neusten News in der Kategorie "Internet"

• ChatGPT & Co: Die besten KI-Tools für spezielle Anwendungsfä... ChatGPT ist vielseitig, doch Alternativen wie Perplexity, Claude, Gemi...

• Von ChatGPT bis Seedream: Vier große KI-Ankündigungen im Übe... Vier Tech-Giganten bringen neue KI-Features: OpenAI macht ChatGPT zum ...

• Zeit sparen mit KI: Methoden für bessere Konzepte und Analys... KI-Strategien verändern die Arbeitsweise grundlegend. Mit Persona...

• KI im Alltag: Helfer, Risiko, Herausforderung Künstliche Intelligenz prägt längst unseren Alltag - un...

• FritzBox-Router absichern: Mit diesem Trick besser surfen Du hast keine Lust, dass Fremde dein WLAN kapern? Dann gibt es einen T...

• Drohungen gegen KI: Mythos, Spielerei oder sinnloser Trick? Drohungen gegen ChatGPT sollen angeblich bessere Antworten liefern. Do...

• 100.000 gegen Vodafone: Streit um 5-Euro-Preiserhöhung eskal... Mehr als 100.000 Vodafone-Kunden klagen gegen eine umstrittene Preiser...

• Mega-Datenleck entdeckt: Alte Zugangsdaten, neue Gefahren? Sicherheitsforscher warnen vor einem Mega-Datenleck: Milliarden Zugang...

• Überwachung im Homeoffice: Wie weit darf der Chef wirklich g... Arbeitgeber setzen im Homeoffice vermehrt auf Überwachungstools. ...

• FRITZ!Box: Labor-Update bringt Top-Verbraucher-Anzeige FRITZ!OS 8.10 bringt neue Einblicke ins Heimnetz. Das Labor-Update f&u...