Исследователями безопасности недавно был обнаружен новый, более незаметный вариант вредоносного ПО для Linux BPFDoor, отличающийся более надежным шифрованием и связью с обратной оболочкой.
BPFDoor – скрытная вредоносная программа-бэкдор, которая была активна по крайней мере с 2017 года, но была обнаружена исследователями безопасности только около года назад. Вредонос получил своё название из-за использования “Berkley Packet Filter” (BPF) для получения инструкций при обходе ограничений брандмауэра входящего трафика.
BPFDoor предназначен для того, чтобы злоумышленники могли длительное время находиться во взломанных системах Linux, оставаясь при этом незамеченными.
До 2022 года вредоносное ПО использовало для связи шифрование RC4, Bind Shell и IPtables, а команды и имена файлов были жестко запрограммированы. Более новый вариант, проанализированныйспециалистами Deep Instinct, включает шифрование статической библиотеки, связь с обратной оболочкой, а все команды отправляются C2-сервером.
Включив шифрование в статическую библиотеку, разработчики вредоносного ПО достигли большей скрытности и запутанности, поскольку устраняется зависимость от внешних библиотек, таких как библиотека с алгоритмом шифрования RC4.
А удаление жестко запрограммированных команд снижает вероятность того, что антивирусное программное обеспечение обнаружит вредоносное ПО с помощью статического анализа, такого как обнаружение на основе сигнатур. Теоретически это также дает ему большую гибкость, поддерживая более разнообразный набор команд.
Deep Instinct сообщает, что последняя версия BPFDoor не помечается как вредоносная ни одним из доступных антивирусных движков на VirusTotal, несмотря на то, что она впервые была представлена на платформе в феврале 2023 года.
При первом выполнении BPFDoor создаёт и блокирует файл времени выполнения в “/var/run/initd.lock”, а затем разветвляется для запуска в качестве дочернего процесса и, наконец, настраивает себя на игнорирование различных сигналов ОС, которые могут его прервать.
Затем вредоносное ПО выделяет буфер памяти и создаёт сокет для перехвата пакетов, который будет использоваться для мониторинга входящего трафика на наличие “волшебной” последовательности байтов (“x44x30xCDx9Fx5Ex14x27x66”).
На этом этапе BPFDoor подключает пакетный фильтр Berkley к сокету для чтения только трафика UDP, TCP и SCTP через порты 22 (ssh), 80 (HTTP) и 443 (HTTPS).
Любые ограничения брандмауэра, присутствующие на взломанной машине, не повлияют на активность вредоноса, потому что BPFDoor работает на таком низком уровне, что они неприменимы.
“Когда BPFdoor находит в отфильтрованном трафике пакет, содержащий его “магические” байты, он воспринимает его как сообщение от своего оператора, анализирует два поля и снова разветвляется”, – поясняет Deep Instinct.
“Родительский процесс будет продолжать отслеживать отфильтрованный трафик, проходящий через сокет, в то время как дочерний процесс будет обрабатывать ранее проанализированные поля как комбинацию IP-порта управления и контроля и попытается связаться с ним”.
После установления соединения с С2-сервером вредоносная программа устанавливает обратную оболочку и ожидает команды от своих операторов.
BPFDoor остаётся крайне скрытным программным обеспечением безопасности, поэтому системные администраторы могут полагаться только на активный мониторинг сетевого трафика и журналов, используя самые современные продукты для защиты конечных точек, и контролировать целостность файла в “/var/run/initd.lock”.
Кроме того, в отчётеCrowdStrike за май 2022 года подчеркивается, что BPFDoor использовал уязвимость 2019 года для обеспечения устойчивости в целевых системах, поэтому применение доступных обновлений безопасности всегда является важной стратегией против всех типов вредоносных программ.