Varian baru malware SysUpdate telah ditemukan yang menargetkan sistem Linux, dengan enkripsi canggih untuk komunikasi command-and-control. Peneliti keamanan di LevelBlue mengidentifikasi ancaman tersebut selama keterlibatan forensik digital dan mengembangkan alat untuk mendekripsi lalu lintasnya. Malware ini menyamar sebagai layanan sistem yang sah untuk menghindari deteksi.
Varian malware SysUpdate muncul sebagai ancaman canggih terhadap lingkungan Linux, yang terdeteksi oleh analis LevelBlue selama keterlibatan Digital Forensics and Incident Response (DFIR). Biner Linux yang mencurigakan muncul di sistem klien, diidentifikasi sebagai executable ELF64 yang dipacking menggunakan packer ofusikasi tidak dikenal tanpa header section, yang menyulitkan analisis tradisional. nnSetelah dieksekusi tanpa argumen khusus, malware menjalankan perintah ID GNU/Linux untuk mengumpulkan informasi sistem dan kemudian memulai komunikasi jaringan terenkripsi melalui berbagai protokol. Analisis dinamis LevelBlue dan metrik deteksi endpoint mengungkap indikator kuat yang menghubungkannya dengan versi SysUpdate baru, dikonfirmasi dengan keyakinan tinggi melalui reverse engineering. Basis kode C++ malware menggunakan rutinitas kriptografi kompleks untuk mengenkripsi lalu lintas command-and-control (C2), menghambat deteksi berbasis jaringan. nnUntuk melawannya, peneliti mengembangkan alat dekripsi menggunakan framework emulasi Unicorn Engine selama insiden aktif. Alat ini mengekstrak byte kode mesin, struktur data global, nilai heap, dan status register CPU dari sampel malware. Ini mem emulate pembuatan kunci dari kunci enkripsi plaintext yang dikodekan keras di heap dan mendekripsi blok data 8-byte melalui operasi XOR dengan algoritma tidak dikenal, mereplikasi pemetaan memori malware termasuk stack, heap, segmen data, dan kode. nnMetodologi ini mengintegrasikan Binary Ninja untuk analisis statis, GDB untuk debugging dinamis, dan binding Unicorn Engine berbasis Rust untuk emulasi x86-64, melewati reverse engineering penuh kriptografi. Pendekatan ini memungkinkan dekripsi lalu lintas C2 untuk varian saat ini dan masa depan dengan mengekstrak kunci enkripsi baru. nnLevelBlue merekomendasikan organisasi untuk menerapkan solusi deteksi endpoint untuk memantau executable ELF yang dipacking yang meniru layanan sistem, melakukan analisis lalu lintas jaringan untuk pola terenkripsi, dan mempersiapkan respons insiden dengan kemampuan emulasi malware.
