Uma nova variante do malware SysUpdate foi descoberta visando sistemas Linux, com criptografia avançada para comunicações de comando e controle. Pesquisadores de segurança da LevelBlue identificaram a ameaça durante um engajamento de forense digital e desenvolveram uma ferramenta para descriptografar seu tráfego. O malware se disfarça como um serviço de sistema legítimo para evitar detecção.
A variante do malware SysUpdate surgiu como uma ameaça sofisticada a ambientes Linux, detectada por analistas da LevelBlue durante um engajamento de Digital Forensics and Incident Response (DFIR). O binário Linux suspeito apareceu no sistema de um cliente, identificado como um executável ELF64 empacotado usando um packer ofuscado desconhecido sem cabeçalhos de seção, complicando a análise tradicional. nnAo ser executado sem argumentos específicos, o malware executa o comando ID do GNU/Linux para coletar informações do sistema e, em seguida, inicia comunicações de rede criptografadas por meio de múltiplos protocolos. A análise dinâmica da LevelBlue e as métricas de detecção de endpoint revelaram fortes indicadores ligando-o a uma nova versão do SysUpdate, confirmada com alta confiança por meio de engenharia reversa. O código base em C++ do malware emprega rotinas criptográficas complexas para criptografar o tráfego de comando e controle (C2), dificultando a detecção baseada em rede. nnPara combatê-lo, os pesquisadores desenvolveram uma ferramenta de descriptografia usando o framework de emulação Unicorn Engine durante o incidente ativo. Essa ferramenta extrai bytes de código de máquina, estruturas de dados globais, valores de heap e estados de registradores da CPU da amostra de malware. Ela emula a geração de chaves a partir de uma chave de criptografia em texto plano codificada de forma fixa no heap e descriptografa blocos de dados de 8 bytes por meio de operações XOR com um algoritmo desconhecido, replicando os mapeamentos de memória do malware, incluindo pilha, heap, segmentos de dados e código. nnA metodologia integra Binary Ninja para análise estática, GDB para depuração dinâmica e bindings do Unicorn Engine baseados em Rust para emulação x86-64, contornando a engenharia reversa completa da criptografia. Essa abordagem permite a descriptografia do tráfego C2 para variantes atuais e futuras ao extrair novas chaves de criptografia. nnA LevelBlue recomenda que as organizações implantem soluções de detecção de endpoint para monitorar executáveis ELF empacotados que imitam serviços do sistema, realizem análise de tráfego de rede para padrões criptografados e preparem respostas a incidentes com capacidades de emulação de malware.
