2024-08-27

Im Gegensatz zu Windows hat Malware für Linux ja eher Seltenheitswert. Umso mehr interessieren uns Details, wenn wieder einmal eine bekannt wird.

Bei Malware stellt sich oft die Frage, wie sie sich im System einnistet, um einen Reboot zu überleben. Diese Malware namens "sedexp" missbraucht dazu das "udev"-System. Dieses dient normalerweise dazu, die Aktionen zu definieren, welche bei bestimmten Hardware-Events ausgelöst werden. Wie der Artikel erläutert kann dies auch zum Ausführen von Schadcode missbraucht werden, das sieht dann so aus:

ACTION=="add", 
ENV{MAJOR}=="1", 
ENV{MINOR}=="8", 
RUN+="asedexpb run:+"

Dies ist so zu lesen, dass bei Hinzufügen eines Devices (z.B. beim Boot), welches den Bedingungen ENV{MAJOR}=="1", ENV{MINOR}=="8" entspricht (dies trifft genau auf den Zufallszahlengenerator /dev/random zu) das Programm asedexpb (die Malware) ausgeführt wird.

Ausserdem versucht sich die Malware noch zu tarnen, indem sie ihren Prozessnamen mittels dem System Call prctl zu etwas unauffälligerem (kdevtmpfs) ändert. Leider nicht näher ausgeführt wird, wie die Malware scheinbar auch noch das Memory manipuliert, um sich vor Commands wie ls oder find zu verstecken.

So wie es für uns aussieht sind zur Installation dieser Malware Root-Rechte notwendig. Wie die Malware zu diesen gekommen ist, ist wieder eine andere Frage.