Comment un malware Linux a-t-il échappé à toutes les détections pendant deux ans?
AccueilLinuxComment un malware Linux a-t-il échappé à toutes les détections pendant deux ans?
Linux

Comment un malware Linux a-t-il échappé à toutes les détections pendant deux ans?

Par Hugues , le 27 août 2024 - 3 minutes de lecture

L’émergence de malwares sophistiqués sur les systèmes Linux représente un défi croissant pour la cybersécurité. Un cas notable est celui d’un malware ayant réussi à passer inaperçu pendant près de deux ans, échappant à toutes les solutions de détection classiques. Cette situation soulève des questions cruciales sur les méthodes d’intrusion, les techniques d’obfuscation utilisées par les cybercriminels et la nécessité d’amélioration des systèmes de détection. L’analyse de ce cas permet de mieux comprendre les failles des mécanismes de surveillance actuels et d’évaluer les pistes d’évolution pour contrer de telles menaces à l’avenir.

Un malware discret : l’ascension de sedexp

Depuis 2022, un malware Linux nommé sedexp a réussi à échapper à toutes les détections, grâce à des techniques d’infiltration sophistiquées. Son mode opératoire soulève des inquiétudes pour la sécurité des systèmes Linux.

Découvert par la société de gestion des risques Stroz Friedberg, sedexp est capable de créer des reverse shells pour un accès à distance, renforçant ainsi son potentiel destructeur.

Techniques de persistance avancées

Techniques de persistance avancées

Le malware utilise une méthode de persistance qui n’est pas encore documentée dans le cadre MITRE ATT&CK. Cela repose sur les règles udev, un système de gestion des appareils du noyau Linux, qui manipule les fichiers de périphériques dans le répertoire /dev.

Voici comment cela fonctionne :

  • Création dynamique des fichiers de nœuds lorsque des appareils sont connectés ou déconnectés.
  • Les règles udev sont situées dans les répertoires /etc/udev/rules.d/ ou /lib/udev/rules.d/.
  • Une règle ajoutée par sedexp s’active lors de l’ajout d’un nouvel appareil, garantissant l’exécution fréquente du malware.

Dissimuler sa présence

Le processus du malware est nommé kdevtmpfs, ce qui lui permet de se fondre dans les opérations normales du système. Cette stratégie rend ainsi la détection par les méthodes traditionnelles plus complexe.

sedexp emploie également des techniques de manipulation de la mémoire pour camoufler sa présence. Ce dernier peut :

  • Cacher les fichiers contenant le terme “sedexp” des commandes standard comme ls ou find.
  • Injecter du code malveillant ou modifier le comportement d’applications existantes.

Comparaison des méthodes de détection

Comparaison des méthodes de détection
Méthodes traditionnelles Technique utilisée par sedexp
Surveillance des fichiers systèmes Invisibilité grâce à la dissimulation en mémoire
Analyse des processus en cours Utilisation de noms de processus légitimes
Détection basée sur des signatures Manipulation de la mémoire pour éviter les signatures
Résultats des antivirus Faible taux de détection (2/60 sur VirusTotal)

Principales caractéristiques du malware

  • Création d’un rétro-shell pour accès à distance.
  • Exploitation des règles udev pour un accès persistant.
  • Invisibilité aux méthodes de détection classiques.
  • Utilisation d’une technique de camouflage avancée.
  • Dynamique d’exécution reliant le malware à un composant essentiel du système.
Partager cet article :
Avatar photo

Hugues

Hugues, a 39 ans et il est développeur web indépendant. Passionné de football, de running et de domotique il aime créer des petites applications pour mieux gérer son quotidien.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.