技術支援
文件
登錄
聯繫我們
Deep Instinct 揭示了新的 Linux 後門變體,稱為 BPFDoor
奧班拉·奧佩耶米
實施期間: 2023年5月24 日 - TuxCare專家團隊
Deep Instinct發現了BPFDoor的存在,這是一種以前未被報導且極其難以捉摸的Linux後門變體。這個後門因其出色的隱身特性而廣受歡迎,這使得它非常難以被發現。
BPFDoor,也稱為JustForFun,是一個隸屬於中國威脅組織Red Menshen的被動Linux後門。它的名字來源於它使用伯克利數據包篩檢程式(BPF),這是一種廣泛用於Linux系統中用於分析和過濾網路流量的技術。它是由普華永道和彈性安全實驗室於 2022 年 5 月發現的。負責此後門的威脅行為者;DecisiveArchitect或Red Dev 18一直專門針對中東和亞洲的電信運營商。
該惡意軟體的主要目標是持續遠端訪問滲透的計算機,允許威脅參與者長時間控制目標環境。有證據表明,BPFDoor駭客團隊多年來一直在操作這個後門,而沒有引起注意。
通過使用 BPF 進行網路通信並執行收到的指令,威脅參與者可以進入受害者的計算機並運行惡意惡意軟體,而不會被典型的防火牆檢測到。它現在已經刪除了幾個硬編碼的指示,並包括一個用於加密的靜態庫(libtomcrypt)以及一個用於命令和控制(C2)通信的反向shell。這些變化大大增加了惡意軟體的規避性,使識別變得更加困難。
BPFDoor 在整個操作過程中小心地忽略大量操作系統信號,以避免終止。然後,它會創建一個記憶體緩衝區並連接到數據包嗅探連接,以監視特定魔術位元組序列的傳入流量。病毒通過在原始套接字上使用 BPF 過濾器將包含其魔術位元組的數據包解釋為來自其操作員的通信。
惡意軟體提取兩個關鍵欄位,然後分叉,父進程仔細觀察過濾的流量,子進程將解析的數據解釋為命令和控制 IP 埠組合,試圖建立聯繫。然後,BPFDoor 打開與 C2 伺服器的加密反向外殼連接,並等待在受感染的系統上執行其他指令。
這篇文章的來源包括 TheHackerNews上的一篇文章。
