Une nouvelle variante du malware SysUpdate a été découverte ciblant les systèmes Linux, dotée d'un chiffrement avancé pour les communications de commande et contrôle. Des chercheurs en sécurité de LevelBlue ont identifié la menace lors d'une mission de forensic numérique et ont développé un outil pour déchiffrer son trafic. Le malware se déguise en service système légitime pour échapper à la détection.
La variante du malware SysUpdate est apparue comme une menace sophistiquée pour les environnements Linux, détectée par les analystes de LevelBlue lors d'une mission de Digital Forensics and Incident Response (DFIR). Le binaire Linux suspect est apparu dans le système d'un client, identifié comme un exécutable ELF64 packé utilisant un packer obfusqué inconnu sans en-têtes de sections, compliquant l'analyse traditionnelle. nnLors de son exécution sans arguments spécifiques, le malware exécute la commande ID de GNU/Linux pour collecter les informations système puis initie des communications réseau chiffrées sur plusieurs protocoles. L'analyse dynamique de LevelBlue et les métriques de détection d'extrémité ont révélé de forts indicateurs le reliant à une nouvelle version de SysUpdate, confirmée avec une haute confiance par ingénierie inverse. Le code de base en C++ du malware utilise des routines cryptographiques complexes pour chiffrer le trafic de commande et contrôle (C2), entravant la détection basée sur le réseau. nnPour y remédier, les chercheurs ont développé un outil de déchiffrement utilisant le framework d'émulation Unicorn Engine pendant l'incident actif. Cet outil extrait les octets de code machine, les structures de données globales, les valeurs de tas et les états des registres CPU de l'échantillon de malware. Il émule la génération de clés à partir d'une clé de chiffrement en texte clair codée en dur dans le tas et déchiffre des blocs de données de 8 octets via des opérations XOR avec un algorithme inconnu, répliquant les mappings mémoire du malware incluant pile, tas, segments de données et code. nnLa méthodologie intègre Binary Ninja pour l'analyse statique, GDB pour le débogage dynamique et les liaisons Unicorn Engine basées sur Rust pour l'émulation x86-64, contournant l'ingénierie inverse complète de la cryptographie. Cette approche permet le déchiffrement du trafic C2 pour les variantes actuelles et futures en extrayant de nouvelles clés de chiffrement. nnLevelBlue recommande aux organisations de déployer des solutions de détection d'extrémité pour surveiller les exécutables ELF packés imitant les services système, d'effectuer une analyse du trafic réseau pour les motifs chiffrés et de préparer une réponse aux incidents avec des capacités d'émulation de malware.
