ClickCease 딥 인스팅트, 새로운 Linux 백도어 변종인 BPFDoor 발견

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

딥 인스팅트, 새로운 Linux 백도어 변종인 BPFDoor 발견

오반라 오페예미

2023년 5월 24일 - TuxCare 전문가 팀

Deep Instinct는 이전에 보고되지 않았고 매우 탐지하기 어려운 Linux 백도어의 변종인 BPFDoor의 존재를 발견했습니다. 이 백도어는 뛰어난 은닉 특성으로 인해 탐지하기가 매우 어렵기 때문에 인기를 얻고 있습니다.

저스트포펀이라고도 알려진 BPFDoor는 중국 위협 조직인 레드 멘쉔과 연계된 수동적인 Linux 백도어입니다. 네트워크 트래픽을 분석하고 필터링하기 위해 Linux 시스템에서 광범위하게 사용되는 기술인 버클리 패킷 필터(BPF)를 사용한다는 점에서 그 이름이 붙여졌습니다. 이 익스플로잇은 2022년 5월에 프라이스워터하우스쿠퍼스(PwC)와 Elastic Security Labs에 의해 발견되었습니다. 이 백도어의 배후에 있는 위협 행위자인 DecisiveArchitect 또는 Red Dev 18은 주로 중동과 아시아의 통신 사업자를 표적으로 삼고 있습니다.

이 멀웨어의 주요 목표는 침투한 컴퓨터에 지속적으로 원격으로 액세스하여 위협 행위자가 오랜 기간 동안 표적 환경을 제어할 수 있도록 하는 것입니다. 증거에 따르면 BPFDoor 해킹 팀은 몇 년 동안 이 백도어를 눈에 띄지 않게 운영해 왔습니다.

위협 행위자는 네트워크 통신에 BPF를 사용하고 수신된 명령을 실행함으로써 일반적인 방화벽에 탐지되지 않고 피해자의 컴퓨터에 침입하여 악의적인 멀웨어를 실행할 수 있습니다. 이제 하드 코딩된 몇 가지 표시를 제거하고 암호화용 정적 라이브러리(libtomcrypt)와 명령 및 제어(C2) 통신을 위한 리버스 셸을 포함했습니다. 이러한 변화는 멀웨어의 회피성을 크게 증가시켜 식별을 더욱 어렵게 만듭니다.

BPFDoor는 작동하는 동안 수많은 운영 체제 신호를 조심스럽게 무시하여 종료되지 않도록 합니다. 그런 다음 메모리 버퍼를 생성하고 패킷 스니핑 연결에 연결하여 특정 매직 바이트 시퀀스에 대해 들어오는 트래픽을 감시합니다. 이 바이러스는 원시 소켓의 BPF 필터를 사용하여 매직 바이트가 포함된 패킷을 운영자가 보낸 통신으로 해석합니다.

이 악성코드는 두 개의 중요 필드를 추출한 후 포크하는데, 상위 프로세스는 필터링된 트래픽을 주의 깊게 관찰하고 하위 프로세스는 파싱된 데이터를 명령 및 제어 IP-포트 조합으로 해석하여 연결을 시도합니다. 그런 다음 BPFDoor는 C2 서버와 암호화된 리버스 셸 연결을 열고 손상된 시스템에서 추가 명령이 실행될 때까지 기다립니다.

이 글의 출처는 TheHackerNews의 기사입니다.

요약
딥 인스팅트, 새로운 Linux 백도어 변종인 BPFDoor 발견
기사 이름
딥 인스팅트, 새로운 Linux 백도어 변종인 BPFDoor 발견
설명
Deep Instinct는 이전에 보고되지 않았고 매우 찾기 어려운 Linux 백도어의 변종인 BPFDoor의 존재를 발견했습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기