リスク管理および保険関連企業のAonはこのほど、「Unveiling sedexp: A Stealthy Linux Malware Exploiting udev Rules」において、新しい永続化手法を用いるLinux向けマルウェア「sedexp」を発見したと伝えた。このマルウェアはudevルールを悪用いて永続性を確保し、メモリを操作して自身を隠蔽するとされる。

  • Unveiling sedexp: A Stealthy Linux Malware Exploiting udev Rules

    Unveiling sedexp: A Stealthy Linux Malware Exploiting udev Rules

udevルールの悪用

udevはLinuxのデバイス管理ツールで、「/dev」ディレクトリに生成されるデバイスファイルの動的管理を担う。USBデバイスなどを接続すると、udevは適切なドライバーをロードし、必要なアクションを実行する。

udevは、「udevルール」と呼ばれる設定ファイルに記述されたルールに従いアクションを実行する。今回攻撃者が永続性確保のために追加したルールは次のとおり。

  • ACTION=="add", ENV{MAJOR}=="1", ENV{MINOR}=="8", RUN+="asedexpb run:+"

このルールを要約すると、「ランダム(random)デバイス追加時にasedexpbを実行せよ」となる。ランダム(random)デバイスはシステム起動時に必ず追加されるため、マルウェアも必ず実行されることになる。

マルウェア「sedexp」の実体

Aonの分析によると、マルウェア「sedexp」は以下の機能を備えているという。

  • リバースシェルによる遠隔操作
  • メモリ操作による文字列「sedexp」を含むファイルの隠蔽。この機能により追加したApache構成ファイル、Webシェル、udevルールをlsやfindコマンドから隠蔽する
  • マルウェアのプロセス名をkdevtmpfsに変更する

影響と対策

Aonの調査によると、攻撃者は侵害したWebサーバ上にクレジットカード情報を窃取するWebスクレイピングコードを設置していたという。この事実から、攻撃者の目的は経済的利益と見られる。

Aonは、このようにステルス性が高い攻撃を回避するため、企業や組織に対し、検出機能の継続的な向上および包括的なセキュリティ対策の実施を推奨している。また、侵害された可能性のある企業に対しては、デジタルフォレンジックとインシデント対応(DFIR: Digital Forensics and Incident Response)をサポートするセキュリティ企業に相談することを推奨している。