Experten entdecken Linux-Malware Sedexp

- 27. August 2024

Sicherheitsexperten von Stroz Friedberg haben eigenen Angaben zufolge eine getarnte Malware mit dem Namen „sedexp“ identifiziert, die Linux udev-Regeln nutzt, um sich einzunisten und sich der Entdeckung zu entziehen.

Die Bedrohung ist laut den Experten seit 2022 aktiv und bietet Angreifern Reverse-Shell-Funktionen und fortschrittliche Verschleierungstaktiken. Denn man habe trotz jahrelangem Vorhandensein mehrere Instanzen in Online-Sandboxen gefunden, die nicht entdeckt wurden. Zum Zeitpunkt der Erstellung dieses Berichts sei die verwendete Persistenztechnik auch nicht von MITRE ATT&CK dokumentiert worden.

Sedexp verwende udev-Regeln zur Aufrechterhaltung der Persistenz. Die Malware verstecke die Regeln mithilfe von Speichermanipulationstechniken. Bei udev handelt es sich um ein Geräteverwaltungssystem für den Linux-Kernel, das für die Verwaltung im Verzeichnis /dev zuständig ist. Es erstellt oder entfernt dynamisch Dateien, verarbeitet Hotplug-Ereignisse, um neue Geräte zu konfigurieren, und lädt bei Bedarf Treiber. Udev-Regeln sind Konfigurationsdateien, die von udev verwendet werden, um Geräte zuzuordnen und Aktionen als Reaktion auf Ereignisse wie das Hinzufügen oder Entfernen von Geräten auszuführen.

Die Malware bietet mehrere Angriffsmöglichkeiten. Sie enthalte etwa eine Reverse Shell, die es dem ermöglicht, die Kontrolle über das angegriffene System zu erhalten. Die Malware verändere auch den Speicher, um jede Datei, die die Zeichenfolge „sedexp“ enthält, vor Befehlen wie ls oder find zu verbergen. Bei der Untersuchung von Stroz Friedberg sei diese Methode genutzt worden, um Webshells, modifizierte Apache-Konfigurationsdateien und die udev-Regel selbst zu verbergen. Eine ausführliche Analyse ist online nachzulesen.

SCHLAGWORTE
Malware
Security
sedexp

Red Hat macht Ansible fit für KI-Agenten

Red Hat baut die Red Hat Ansible Automation Platform zum zentralen „Trusted Execution Layer“ für KI-gestützte Prozesse aus. Damit können KI-Agenten kontrolliert und skalierbar in vorhandene Workflows und Infrastrukturen integriert werden.

Operation Endgame: Behörden zerschlagen Schadsoftware-Netzwerken**

m Rahmen der internationalen Operation Endgame haben Strafverfolgungs- und Cybersicherheitsbehörden mehrere Schadsoftware-Familien vom Netz genommen.

Im Rahmen der internationalen Operation Endgame haben Strafverfolgungs- und Cybersicherheitsbehörden mehrere Schadsoftware-Familien vom Netz genommen. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) unterstützte die Behörde die Aktion mit technischen Analysen,...

Cloud Tag: KI als Partner im Gruppenchat

Anthropic hat seine jüngste Entwicklung Claude Tag vorgestellt, die sich in einen Slack-Gruppenchat einbinden lässt und dann von Teammitgliedern via @Claude Aufgaben übertragen bekommt. Claude Tag soll sich dabei Kontext-Informationen aus den Channels besorgen, in denen es eingebunden ist.

Kritische Nginx-Sicherheitslücken

Nginx ist eine weit verbreitete Software für Webserver, Reverse-Proxy- und Load-Balancing-Dienste. Der Hersteller F5 hat nun außerplanmäßige Sicherheitsupdates veröffentlicht, um zwei kritische Schwachstellen in Nginx und weiteren Produkten des Unternehmens zu schließen. Eine der Lücken...

Thunderbird Pro wird Thundermail und Webmail kommt

Der für den Mailclient Thunderbird gestartete Subskriptionsservice Thunderbird Pro heißt nun Thundermail. Thundermail bezeichnet damit den E-Mail-Dienst von Thunderbird, der Funktionen wie Appointment und Send bereits beinhaltet.

China holt Krone für weltschnellsten Supercomputer

Auf der Internationalen Supercomputerkonferenz ISC 2026 in Hamburg wurde die nunmehr 67te Liste der 500 weltschnellsten Computer veröffentlicht. Sie wird zum ersten Mal seit 2017 wieder von einem chinesischen Rechner angeführt, einem System namens LineShine, das im National Supercomputing Centre...

E-Mail Benachrichtigung

1 Kommentar

Älteste

Neuste Beste Bewertung

Linux Hase

1 Jahr her

🤔 Wollen die bei Stroz damit sagen das weder die verwendete Distribution noch die Benutzerdefinierten Einstellungen, Berechtigungen oder eine Firewall, Einfluss darauf haben?
Wer ist betroffen?
Welche Auswirkungen sind realistich zu erwarten?
Ich finde diese Meldung als Panikmache und nicht objektiv und ins Detail gehend.
Schliesslich gab es schon einige Lücken über Jahre, über die aber praktisch nichts passiert ist außer das irgendwer sie irgendwann entdeckt hat.

Antworten

Wir melden uns mit einer kurzen Folge direkt von den Chemnitzer Linux-Tagen 2026. Es war wieder ein aufregendes CLT-Wochenende – und wir hoffen, dass euch unsere Kurz-Interviews einen guten Eindruck von der Veranstaltung vermitteln.