리눅스 시스템을 노리는 새로운 악성코드 'sedexp'가 2022년부터 탐지되지 않고 활동해온 사실이 드러났다.

이 악성코드는 스트로즈 프리드버그(Stroz Friedberg)라는 사이버 보안 회사에서 발견했으며, 해당 악성코드는 기존 보안 체계에서 탐지되지 않는 고급 기법을 활용해 시스템에 지속적으로 잠입했다.
sedexp는 리눅스 커널의 장치 관리 시스템인 udev 규칙을 이용해 시스템에 지속적으로 존재하는 방식을 사용했다. udev는 `/dev` 디렉토리에 있는 장치 노드를 관리하며, 이 노드들은 저장 장치, 네트워크 인터페이스 등 하드웨어 구성 요소를 나타낸다. sedexp는 특정 장치가 추가될 때마다 동작하는 규칙을 삽입해, 시스템이 부팅될 때마다 자신이 실행되도록 했다.

특히, 이 악성코드는 리눅스의 중요한 시스템 구성 요소인 `/dev/random`을 조건으로 설정하여, 보안 솔루션이 탐지하지 못하도록 하는 방식으로 지속성을 유지했다.

sedexp는 시스템 내에서 `kdevtmpfs`라는 합법적인 시스템 프로세스로 위장하여 탐지되지 않도록 했다. 또한, 메모리 조작 기법을 사용해 `ls`나 `find` 같은 일반 명령어로는 악성코드의 존재를 숨겼다. 더불어, 공격자는 역셸(reverse shell)을 설정해 감염된 시스템에 원격으로 접근할 수 있는 통로를 만들었다.

이 악성코드는 주로 금전적 이익을 목적으로 한 공격에 사용된 것으로 보인다. 예를 들어, 웹 서버에 신용카드 스키밍 코드를 숨기는 데 활용된 사례가 보고되었으며, 이는 금융 범죄와 관련된 더 큰 사이버 공격의 일환일 가능성이 있다.

sedexp의 탐지는 기존 보안 도구로는 어려운 만큼, 보안 전문가들은 udev 규칙을 모니터링하고 고급 포렌식 분석을 통해 잠재적으로 감염된 시스템을 식별할 것을 권고했다. 또한, 보안 프레임워크를 지속적으로 업데이트하고 새로운 지속성 기법을 포함시키는 것이 중요하다.

리눅스가 계속해서 중요한 인프라와 기업 환경을 지원하는 만큼, sedexp와 같은 위협을 이해하고 대응하는데 각별히 신경써야 한다.