Брандмауэры — не помеха для скрытного вредоноса, хакеры всё равно получат своё.
Исследователями безопасности недавно был обнаружен новый, более незаметный вариант вредоносного ПО для Linux под названием BPFDoor. Это скрытная вредоносная программа-бэкдор, которая была активна по крайней мере с 2017 года, но была обнаружена исследователями безопасности лишь около года назад.
Бэкдор получил своё название из-за использования «Berkley Packet Filter» (BPF) для получения инструкций при обходе ограничений брандмауэра входящего трафика. BPFDoor предназначен для того, чтобы злоумышленники могли длительное время находиться во взломанных системах Linux, оставаясь при этом незамеченными.
До 2022 года вредонос использовал для связи шифрование RC4, Bind Shell и IPtables, а команды и имена файлов были жестко запрограммированы. Более новый вариант, проанализированный специалистами Deep Instinct, включает шифрование статической библиотеки, связь с обратной оболочкой, а все команды отправляются C2-сервером.
Включив шифрование в статическую библиотеку, разработчики BPFDoor достигли большей скрытности и запутанности, поскольку устраняется зависимость от внешних библиотек, таких как библиотека с алгоритмом шифрования RC4.
Удаление жестко запрограммированных команд также снижает вероятность того, что антивирусное программное обеспечение обнаружит бэкдор с помощью статического анализа, такого как обнаружение на основе сигнатур. Теоретически, это также дает вредоносу большую гибкость, поддерживая более разнообразный набор команд.
Deep Instinct сообщает, что последняя версия BPFDoor не помечается как вредоносная ни одним из доступных антивирусных движков на VirusTotal. Даже несмотря на то, что некоторые образцы бэкдора были загружены на платформу ещё в феврале 2023 года.
При первом запуске BPFDoor создаёт и блокирует файл среды выполнения по адресу "/var/run/initd.lock", а затем разветвляется и запускается как дочерний процесс, настраивая себя на игнорирование различных сигналов операционной системы, которые могли бы прервать работу бэкдора.
Затем BPFDoor выделяет буфер памяти и создаёт сокет для перехвата пакетов, который затем используется для мониторинга входящего трафика на наличие «волшебной» последовательности байтов («\x44\x30\xCD\x9F\x5E\x14\x27\x66»). На этом этапе BPFDoor подключает пакетный фильтр Berkley для чтения трафика UDP, TCP и SCTP через порты 22 (ssh), 80 (HTTP) и 443 (HTTPS). Любые ограничения брандмауэра, присутствующие на взломанной машине, уже не повлияют на активность вредоноса, потому что BPFDoor работает на таком низком уровне, что подобные ограничения к нему уже неприменимы.
«Когда BPFdoor находит в отфильтрованном трафике пакет, содержащий специальные «магические» байты, он воспринимает этот пакет как сообщение от своего оператора, анализирует их и снова разветвляется», — пояснили исследователи Deep Instinct.
«Родительский процесс будет продолжать отслеживать отфильтрованный трафик, проходящий через сокет, в то время как дочерний процесс будет ждать вредоносной команды от операторов», — добавили специалисты
BPFDoor остаётся крайне скрытным зловредом, поэтому, чтобы не стать его жертвой, системные администраторы должны полагаться только на активный мониторинг сетевого трафика и журналов, используя самые современные продукты для защиты конечных точек. Контроль целостности файла «/var/run/initd.lock» тоже не будет лишним.