Deep Instinct enthüllt eine neue Linux-Backdoor-Variante mit der Bezeichnung BPFDoor
Deep Instinct hat die Existenz von BPFDoor entdeckt, einer bisher nicht gemeldeten und äußerst schwer zugänglichen Variante einer Linux-Backdoor. Diese Backdoor ist aufgrund ihrer herausragenden Stealth-Eigenschaften, die ihre Entdeckung äußerst schwierig machen, sehr beliebt.
BPFDoor, auch bekannt als JustForFun, ist eine passive Linux-Backdoor, die mit der chinesischen Bedrohungsorganisation Red Menshen verbunden ist. Der Name leitet sich von der Verwendung von Berkeley Packet Filters (BPF) ab, einer in Linux-Systemen weit verbreiteten Technik zur Analyse und Filterung des Netzwerkverkehrs. Sie wurde im Mai 2022 von PwC und Elastic Security Labs entdeckt. Die für diese Backdoor verantwortlichen Bedrohungsakteure, DecisiveArchitect oder Red Dev 18, haben es ausschließlich auf Telekommunikationsbetreiber im Nahen Osten und Asien abgesehen.
Das Hauptziel dieser Malware ist es, dauerhaften Fernzugriff auf infiltrierte Computer zu erlangen, so dass Bedrohungsakteure die Kontrolle über die Zielumgebung über längere Zeiträume hinweg behalten können. Es gibt Hinweise darauf, dass das BPFDoor-Hacking-Team diese Backdoor bereits seit einigen Jahren unbemerkt betreibt.
Durch den Einsatz von BPF für die Netzwerkkommunikation und die Ausführung empfangener Anweisungen können Bedrohungsakteure in den Computer eines Opfers eindringen und bösartige Malware ausführen, ohne von typischen Firewalls entdeckt zu werden. Es wurden nun mehrere hart kodierte Hinweise entfernt und eine statische Bibliothek für die Verschlüsselung (libtomcrypt) sowie eine Reverse Shell für die Command-and-Control-Kommunikation (C2) hinzugefügt. Diese Änderungen tragen erheblich zur Verschleierung der Malware bei und machen die Identifizierung noch schwieriger.
BPFDoor ignoriert während des gesamten Betriebs sorgfältig zahlreiche Betriebssystemsignale, um einen Abbruch zu vermeiden. Anschließend erstellt er einen Speicherpuffer und stellt eine Verbindung zu einer Packet-Sniffing-Verbindung her, um den eingehenden Datenverkehr auf eine bestimmte Magic Byte-Sequenz zu überwachen. Der Virus interpretiert Pakete, die seine Magic Bytes enthalten, als Kommunikation mit seinem Operator, indem er einen BPF-Filter auf dem Raw-Socket verwendet.
Die Malware extrahiert zwei kritische Felder und gabelt sich dann, wobei der übergeordnete Prozess den gefilterten Datenverkehr aufmerksam beobachtet und der untergeordnete Prozess die geparsten Daten als Befehls- und Kontroll-IP-Port-Kombination interpretiert und versucht, Kontakt herzustellen. BPFDoor öffnet dann eine verschlüsselte Reverse-Shell-Verbindung mit dem C2-Server und wartet auf weitere Anweisungen, die auf dem angegriffenen System ausgeführt werden sollen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.