APTs Red Menshen, VMware ESXi, Mirai botnet varyasyonları ve bulut odaklı hırsızlar ve kripto madencilerine yönelik fidye yazılımı saldırılarında görüldüğü gibi, hedefleri Linux ve bulut sunucularına genişletiyor.
APT grupları, Sandworm’un Linux tabanlı yönlendiricilere yönelik saldırılarının gösterdiği gibi, odağı Windows’un ötesine taşır. APT kötü amaçlı yazılımları, geniş hedefleri olan siber suçlara yönelik kötü amaçlı yazılımların aksine, kalıcı gizliliğe ve rutin bakıma öncelik verir.
Orta Doğu ve Asya’da faaliyet gösteren bir APT grubu olan Red Menshen, Linux ve Solaris OS güvenlik duvarlarından kaçınmak için Berkeley Paket Filtresi (BPF) kullanarak BPFDoor arka kapısını sürekli olarak geliştiriyor.
Trend Micro’daki siber güvenlik araştırmacıları, eklenen izleme ve algılama modelleriyle Linux ve Solaris türevlerini sırasıyla Backdoor.Linux.BPFDOOR ve Backdoor.Solaris.BPFDOOR.ZAJE olarak tanımlıyor.
Red Menshen, BPF filtrelerini ilerleterek talimatları altı kat artırarak BPFDoor’un aktif olarak geliştirildiğini ve başarılı bir şekilde devreye alındığını gösterir.
BPFDoor’un iş akışı
BPFDoor’un ilgi çekici teknik yönü, Linux’ta genellikle BPF veya LSF olarak bilinen ve aynı temel teknolojiyi temsil eden çekirdek düzeyinde paket filtreleri yüklemesinde yatmaktadır.
BPFDoor’un BPF filtreleri, çekirdeğin BPF motorunu kullanarak güvenlik duvarlarını atlayarak tek bir ağ paketiyle arka kapı aktivasyonuna olanak tanır ve bu rootkit benzeri yetenek, onu tipik arka kapılardan ayırır.
BPFDoor değişkenleri, çalışma zamanı filtre yüklemesi için SO_ATTACH_FILTER kullanan Linux örnekleri ve libpcap işlevlerini kullanan Solaris örnekleri ile klasik BPF filtrelerini kullanır.
Sihirli numaraya sahip bir paket geldiğinde, BPFDoor kaynak IP’ye geri bağlanarak tanımlayıcı tabanlı ayrı bir iletişim kurar.
BPFDoor tarafından ayrıcalıklı bir ters kabuk oluşturulur ve saldırganın, virüslü makinenin kabuğuna bir boru bağlantısı yoluyla uzaktan komut yürütmesine olanak tanır.
2018-2022 yılları arasındaki BPFDoor örnekleri, aşağıdaki protokoller için benzersiz sihirli sayıları kabul eden tek tip bir BPF programına sahiptir:-
Bu örneklerdeki BPF programı, filtrenin karmaşıklığını ölçen, paylaşılan raporu okuyan 30 talimattan oluşur.
Etkilenen sistemlerde arka kapının etkinleştirilmesini tetikleyen üç farklı paket vardır ve aşağıda bunlardan bahsetmiştik:-
- Veri alanında 0x7255 sihirli numarasını içeren UDP paketi
- Veri alanında aynı 0x7255 sihirli sayıyı içeren ICMP ECHO (ping) paketi
- Veri alanında 0x5293 sihirli numarasını içeren TCP paketi
Uzmanlar, TCP paketleri için 4 baytlık bir sihirli sayı tanıtan dört telfhash destekli örnek belirlediler ve bunun sonucunda 39 talimat içeren yeni bir BPF programı ortaya çıktı.
2023’te üç örnek, özellikle ICMP paketlerini ICMP ECHO istekleri olarak doğrulayan 229 talimat içeren gelişmiş bir BPF programı kullandı.
hedefler Red Menshen APT’nın
Aşağıda, BPFDoor kullanılarak hedeflenen ülkelerden bahsetmiştik:-
Aşağıda, BPFDoor kullanılarak hedeflenen sektörlerden bahsetmiştik:-
- telekomünikasyon hizmetleri
- Finansal hizmetler
- Diğer servisler
BPF bayt kodunu kötü amaçlı yazılıma dahil etmek, güvenlik uzmanları için yeni ve karmaşık bir engel teşkil ediyor. Bu nedenle, BPFDoor’un gelişen filtreleri, tehdit aktörlerinin gizliliği artırma ve tespitten kaçınma çabalarını gösterir.
Ağ savunucuları ve kötü amaçlı yazılım analistleri için derhal kuralları güncellemek ve BPF filtre analizine dalmak önerilir.