Tamamen yeni ve daha önce bildirilmemiş bir BPFdoor formu, yakın zamanda Deep Instinct’in tehdit laboratuvarı tarafından keşfedildi ve incelendi.
Kötü amaçlı yazılımın, gelen trafikte güvenlik duvarı sınırlarını aşan yönergeleri almanın ve tespitten kaçınmanın alışılmadık bir yöntemi olan Berkley Paket Filtresi kullanması ona adını verir.
Kötü amaçlı yazılım, Red Menshen (Red Dev 18) ile bağlantılıdır. Bu Çinli tehdit aktörünün 2021’den beri Asya ve Orta Doğu’daki siyasi, eğitim ve lojistik kurumları ile telekomünikasyon şirketlerini hedef aldığı görülüyor.
BPFDoor Hedefleme Linux Sistemleri
Halihazırda ihlal edilmiş ağlarda ve ortamlarda kalıcı, uzun vadeli bir dayanak oluşturmak için BPFdoor, Linux’a özgü, düşük profilli, pasif bir arka kapıdır ve öncelikle bir saldırganın güvenlik ihlalinden sonra virüslü bir makineye uzun bir süre tekrar girebilmesini sağlar.
BPFdoor, başlangıçta pratik ve zarif tasarımı ve uzun vadeli tespit edilmeden kalıcılığı sağlamada kritik öneme sahip gizliliğe güçlü bir vurgu yapmasıyla biliniyordu.
Kötü amaçlı yazılımın komutları ve dosya adları sabit kodlandı ve 2022 yılına kadar iletişim için RC4 şifreleme, bağlama kabuğu ve iptables kullandı.
Deep Instinct tarafından incelenen daha yeni değişken, ters kabuk iletişimi, statik kitaplık şifrelemesi ve C2 sunucusu tarafından gönderilen tüm komutları içerir.
Ek olarak, sabit kodlanmış komutların silinmesiyle, imza tabanlı algılama gibi statik analiz kullanan virüsten koruma yazılımları tarafından kötü amaçlı yazılımların keşfedilme olasılığı daha düşük olacaktır. Ayrıca, daha kapsamlı bir dizi komut seti sağlayarak ona daha fazla esneklik sağladığı varsayılmaktadır.
BPFDoor başlangıçta çalıştırıldığında, “/var/run/initd.lock” konumunda bir çalışma zamanı dosyasını kilitler, kendisini bir alt süreç olarak çalışacak şekilde çatallar ve ardından kendisini kesintiye uğratacak farklı işletim sistemi sinyallerini yok sayması talimatını verir.
Kötü amaçlı yazılım, “sihirli” bir bayt dizisi (“x44x30xCDx9Fx5Ex14x27x66”) için gelen trafiği izlemek için bir bellek arabelleği ayırır ve bir paket koklama soketi başlatır.
22 (ssh), 80 (HTTP) ve 443 (HTTPS) portları üzerinden sadece UDP, TCP ve SCTP trafiğini okumak için BPFDoor, bu noktada yuvaya bir Berkley Paket Filtresi bağlayın.
BPFDoor o kadar düşük seviyede çalışır ki, güvenliği ihlal edilmiş bilgisayardaki herhangi bir güvenlik duvarı sınırlaması bu koklama etkinliğini etkilemez.
Kötü amaçlı yazılım, ters bir kabuk oluşturur ve C2’ye bağlandıktan sonra sunucudan bir komut bekler.
Araştırmacılar, “BPFdoor, bu son yineleme ile son derece gizli ve tespit edilmesi zor bir kötü amaçlı yazılım olarak itibarını koruyor” diyerek sözlerini bitirdi.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin
