Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Deep instinct revela una nueva variante del backdoor de Linux apodada BPFDoor
24 de mayo de 2023 - Equipo de RRPP de TuxCare
Deep Instinct ha descubierto la existencia de BPFDoor, una variante de puerta trasera de Linux de la que no se había informado hasta ahora y que es extremadamente escurridiza. Este backdoor ha ganado popularidad debido a sus excelentes cualidades de ocultación, que lo hacen extremadamente difícil de detectar.
BPFDoor, también conocido como JustForFun, es un backdoor pasivo de Linux afiliado a la organización de amenazas china Red Menshen. Su nombre se debe al uso de Berkeley Packet Filters (BPF), una técnica muy utilizada en sistemas Linux para analizar y filtrar el tráfico de red. Fue descubierto en mayo de 2022 por PwC y Elastic Security Labs. La amenaza responsable de esta puerta trasera, DecisiveArchitect o Red Dev 18, se ha dirigido exclusivamente a operadores de telecomunicaciones de Oriente Medio y Asia.
El objetivo principal de este malware es obtener acceso remoto persistente a los ordenadores infiltrados, lo que permite a los actores de la amenaza mantener el control sobre el entorno objetivo durante largos periodos de tiempo. Las pruebas demuestran que el equipo de hackers de BPFDoor ha estado operando esta puerta trasera de forma inadvertida durante algunos años.
Al emplear BPF para la comunicación en red y ejecutar las instrucciones recibidas, los actores de amenazas pueden entrar en la máquina de una víctima y ejecutar malware malicioso sin ser detectados por los típicos cortafuegos. Ahora ha eliminado varias indicaciones codificadas y ha incluido una biblioteca estática para el cifrado (libtomcrypt), así como un shell inverso para la comunicación de mando y control (C2). Estos cambios aumentan en gran medida la capacidad de evasión del malware, dificultando aún más su identificación.
BPFDoor ignora cuidadosamente numerosas señales del sistema operativo durante toda la operación para evitar la terminación. A continuación, crea un búfer de memoria y se conecta a una conexión de rastreo de paquetes para vigilar el tráfico entrante en busca de una determinada secuencia de Magic Bytes. El virus interpreta los paquetes que contienen sus Magic Bytes como comunicaciones de su operador utilizando un filtro BPF en el socket sin procesar.
El malware extrae dos campos críticos y luego se bifurca, con el proceso padre observando atentamente el tráfico filtrado y el proceso hijo interpretando los datos analizados como una combinación IP-puerto de comando y control, intentando establecer contacto. A continuación, BPFDoor abre una conexión shell inversa cifrada con el servidor C2 y espera a que se ejecuten instrucciones adicionales en el sistema comprometido.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
