Điều khiến sedexp đáng chú ý là việc sử dụng các quy tắc udev để duy trì tính bền bỉ. Udev, thay thế cho Hệ thống tệp thiết bị, cung cấp cơ chế để xác định thiết bị dựa trên các thuộc tính của chúng và cấu hình các quy tắc để phản hồi khi có sự thay đổi về trạng thái thiết bị, tức là thiết bị được cắm vào hoặc tháo ra.

Mỗi dòng trong tệp quy tắc udev có ít nhất một cặp khóa-giá trị, giúp có thể khớp thiết bị theo tên và kích hoạt các hành động nhất định khi phát hiện nhiều sự kiện thiết bị khác nhau (ví dụ: kích hoạt sao lưu tự động khi ổ đĩa ngoài được kết nối).

“Một quy tắc khớp có thể chỉ định tên của nút thiết bị, thêm các liên kết tượng trưng trỏ đến nút hoặc chạy một chương trình được chỉ định như một phần của việc xử lý sự kiện”, SUSE Linux lưu ý trong tài liệu của mình. “Nếu không tìm thấy quy tắc khớp nào, tên nút thiết bị mặc định sẽ được sử dụng để tạo nút thiết bị”.

Quy tắc udev cho sedexp — ACTION==”add”, ENV{MAJOR}==”1″, ENV{MINOR}==”8″, RUN+=”asedexpb run:+” — được thiết lập sao cho phần mềm độc hại được chạy bất cứ khi nào /dev/random (tương ứng với thiết bị phụ số 8 ) được tải, thường xảy ra sau mỗi lần khởi động lại.

Nói cách khác, chương trình được chỉ định trong tham số RUN sẽ được thực thi mỗi lần sau khi hệ thống khởi động lại.

Phần mềm độc hại này có khả năng khởi chạy một shell ngược để tạo điều kiện truy cập từ xa vào máy chủ bị xâm phạm, cũng như sửa đổi bộ nhớ để ẩn bất kỳ tệp nào có chứa chuỗi “sedexp” khỏi các lệnh như ls hoặc find.

Stroz Friedberg cho biết trong những trường hợp mà họ điều tra, khả năng này đã được sử dụng để ẩn các shell web, các tệp cấu hình Apache đã thay đổi và chính quy tắc udev.

“Phần mềm độc hại được sử dụng để ẩn mã thu thập thông tin thẻ tín dụng trên máy chủ web, cho thấy mục đích là để kiếm lợi nhuận tài chính”, các nhà nghiên cứu cho biết. “Việc phát hiện ra sedexp cho thấy sự tinh vi ngày càng tăng của các tác nhân đe dọa có động cơ tài chính ngoài ransomware”.

Nguồn: The hacker news