Udev规则

对手可能通过使用udev规则执行恶意内容来保持持久性。Udev是Linux内核设备管理器，动态管理设备节点，处理/dev目录中的伪设备文件访问，并响应硬件事件，例如插入或移除外部设备如硬盘或键盘。Udev使用带有“匹配键”的规则文件来指定硬件事件必须满足的条件，并使用“动作键”来定义应执行的操作。创建、修改或删除位于/etc/udev/rules.d/、/run/udev/rules.d/、/usr/lib/udev/rules.d/、/usr/local/lib/udev/rules.d/和/lib/udev/rules.d/中的规则文件需要root权限。规则优先级由目录和规则文件名中的数字前缀决定。(引用: Ignacio Udev research 2024)(引用: Elastic Linux Persistence 2024) 对手可能通过在udev规则文件中添加或修改规则来滥用udev子系统以执行恶意内容。例如，对手可能配置一个规则，每次应用程序访问伪设备文件（如/dev/random）时执行其二进制文件。尽管udev仅限于运行短任务，并受systemd-udevd的沙箱限制（阻止网络和文件系统访问），攻击者可能使用动作键RUN+=下的脚本命令在后台分离并运行恶意内容的进程，以绕过这些控制。(引用: Reichert aon sedexp 2024)