تم اكتشاف متغير جديد من برمجية SysUpdate الضارة يستهدف أنظمة لينكس، مع تشفير متقدم للاتصالات بين الأوامر والتحكم. حدد باحثو الأمن في LevelBlue التهديد أثناء مشاركة في التحقيق الجنائي الرقمي وطوّروا أداة لفك تشفير حركتها المرورية. تتنكر البرمجية الضارة على شكل خدمة نظام شرعية للتهرب من الكشف.
ظهر متغير برمجية SysUpdate الضارة كتهديد متطور للبيئات لينكس، تم اكتشافه من قبل محللي LevelBlue أثناء مشاركة في التحقيق الجنائي الرقمي واستجابة الحوادث (DFIR). ظهر الملف التنفيذي لينكس المشبوه في نظام عميل، وتم تحديده كملف تنفيذي ELF64 مضغوط باستخدام حاسبة تشويش غير معروفة بدون رؤوس أقسام، مما يعقد التحليل التقليدي. nnعند التنفيذ بدون وسائط محددة، تقوم البرمجية الضارة بتنفيذ أمر ID في GNU/Linux لجمع معلومات النظام ثم تبدأ اتصالات شبكية مشفرة عبر بروتوكولات متعددة. كشف التحليل الديناميكي لـLevelBlue وقياسات كشف نقاط النهاية عن مؤشرات قوية تربطها بنسخة جديدة من SysUpdate، مؤكدة بثقة عالية من خلال الهندسة العكسية. يستخدم قاعدة الكود C++ للبرمجية الضارة روتينات تشفير معقدة لتشفير حركة مرور الأوامر والتحكم (C2)، مما يعيق الكشف القائم على الشبكة. nnللمواجهة، طوّر الباحثون أداة فك تشفير باستخدام إطار عمل محاكاة Unicorn Engine أثناء الحادث النشط. تستخرج هذه الأداة بايتات الكود الآلي، وهياكل البيانات العالمية، وقيم الكومة، وحالة سجلات المعالج من عينة البرمجية الضارة. تحاكي توليد المفاتيح من مفتاح تشفير نص عادي مثبت مسبقًا في الكومة وتفك تشفير كتل بيانات 8 بايت عبر عمليات XOR باستخدام خوارزمية غير معروفة، مع تكرار خرائط الذاكرة للبرمجية الضارة بما في ذلك المكدس والكومة وأجزاء البيانات والكود. nnتدمج المنهجية Binary Ninja للتحليل الثابت، وGDB للتصحيح الديناميكي، وروابط Unicorn Engine المبنية على Rust لمحاكاة x86-64، متجاوزة الهندسة العكسية الكاملة للتشفير. يتيح هذا النهج فك تشفير حركة مرور C2 للمتغيرات الحالية والمستقبلية من خلال استخراج مفاتيح التشفير الجديدة. nnيوصي LevelBlue المنظمات بنشر حلول كشف نقاط النهاية لمراقبة الملفات التنفيذية ELF المضغوطة التي تحاكي خدمات النظام، وإجراء تحليل حركة المرور الشبكية للأنماط المشفرة، والاستعداد لاستجابة الحوادث بقدرات محاكاة البرمجيات الضارة.
