锁定Linux服务器的攻击行动越来越常见，但黑客植入恶意程序的攻击手法，最近出现了相当不寻常的新招。

保险业者怡安（Aon）旗下的风险管理业者Stroz Friedberg揭露名为sedexp的Linux恶意软件，黑客将其用来在网页服务器窃取信用卡数据，其中使用罕见的手法维持在受害主机运作引起研究人员关注，此恶意程序从2022年开始出没，研究人员在许多沙箱环境发现其踪迹，然而，目前没有杀毒引擎将其视为有害。

除了前述的信用卡数据侧录行为，研究人员指出此恶意程序还具备反向Shell的功能，以及窜改内存内容，目的是用来隐藏含有ls或find指令的部分命令，攻击者通常会用来偷渡Web Shell、窜改的Apache组态文件，以及udev规则。

究竟研究人员提及的罕见手法是什么？答案是滥用Linux内核的设备管理系统udev的规则。

udev的主要功能是负责管理/dev文件夹里的设备节点，动态创建或是移除设备，处理热插拔事件、设置新的设备，并加载所需的驱动程序，而udev规则组态文件的用途，是指示此设备管理系统侦测到特定设备的时候，运行特定的动作，例如添加或是移除设备。

而黑客加入的udev规则文件内容为何？研究人员看到他们针对/dev/random的特殊设备文件设置配置，Linux操作系统的许多系统处理进程及应用程序，都会将其用来产生随机乱数，然后进行加密作业或是安全通信。而攻击者指定当上述的设备文件加载时，就会一并运行sedexp。研究人员特别提及，这样的手法，目前尚未被汇整到攻击框架MITRE ATT&CK当中。

针对这种极为特殊的新兴手法，研究人员指出，这代表出于经济动机犯案的黑客，手法也变得更加复杂，突显企业需要持续调整、更新侦测威胁的能力，并在察觉服务器疑似遭骇的情况下，应考虑进行完整的鉴识调查。