En ny variant av SysUpdate-malware har upptäckts som riktar sig mot Linux-system, med avancerad kryptering för kommando- och kontrollkommunikation. Säkerhetsforskare på LevelBlue identifierade hotet under ett digitalt forensiskt uppdrag och utvecklade ett verktyg för att dekryptera dess trafik. Malware utger sig för att vara en legitim systemservice för att undvika detektering.
SysUpdate-malwarevarianten dök upp som ett sofistikerat hot mot Linux-miljöer, upptäckt av LevelBlue-analytiker under ett Digital Forensics and Incident Response (DFIR)-uppdrag. Den misstänkta Linux-binären dök upp i en klients system, identifierad som en packad ELF64-exekverbar fil med en okänd obfuskator utan sektionhuvuden, vilket komplicerar traditionell analys. nnVid exekvering utan specifika argument kör malware GNU/Linux ID-kommandot för att samla systeminformation och initierar sedan krypterad nätverkskommunikation över flera protokoll. LevelBlues dynamiska analys och endpointdetektionsmätvärden avslöjade starka indikatorer som kopplar den till en ny SysUpdate-version, bekräftad med hög säkerhet genom reverse engineering. Malware-kodbasen i C++ använder komplexa kryptografiska rutiner för att kryptera kommando- och kontrolltrafik (C2), vilket försvårar nätverksbaserad detektering. nnFör att motverka detta utvecklade forskarna ett dekrypningsverktyg med Unicorn Engine-emuleringsramverket under den aktiva incidenten. Verktyget extraherar maskinkodbytes, globala datastrukturer, heapvärden och CPU-registrerstatus från malwareprovet. Det emulerar nyckelgenerering från en hårdkodad plaintext-krypteringsnyckel i heapen och dekrypterar 8-bytes datablock via XOR-operationer med en okänd algoritm, och replikerar malware-minnesmappningar inklusive stack, heap, datasegment och kod. nnMetodiken integrerar Binary Ninja för statisk analys, GDB för dynamisk felsökning och Rust-baserade Unicorn Engine-bindningar för x86-64-emulering, och kringgår fullständig reverse engineering av kryptografin. Detta tillvägagångssätt möjliggör dekryptering av C2-trafik för nuvarande och framtida varianter genom att extrahera nya krypteringsnycklar. nnLevelBlue rekommenderar organisationer att distribuera endpointdetekteringslösningar för att övervaka packade ELF-exekverbara filer som efterliknar systemservicar, utföra nätverkstrafikanalys för krypterade mönster och förbereda incidenthantering med malware-emuleringskapacitet.
