Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
'Unveiling "sedexp": A Stealthy Linux Malware Exploiting udev Rules"
--> siehe dazu auch [1]
--> ein PoC gibt es auf [2]
--> hier hilft
- regelmäßiges Monitoren der Regeln in /etc/udev/rules.d/
- zudem besonderes Augenmerkauf Regeln mit "RUN+=/path/to/code"
VG
Bernd
[0] https://www.aon.com/en/insights/cyber-labs/unveiling-sedexp
[1] https://ch4ik0.github.io/en/posts/leveraging-Linux-udev-for-persistence/
[2] https://github.com/grahamhelton/USP
rwth-security@lists.rwth-aachen.de