关键词
Linux后门、BPFdoor
解析“魔术”数据包
BPFdoor 是一个被动后门,这意味着它可以在一个或多个端口上侦听来自一个或多个主机的传入数据包,攻击者可以使用这些端口将命令远程发送到受感染的网络。
研究人员能够在不同地区的组织网络上找到 BPFdoor 活动,其中最著名的是美国、韩国、香港、土耳其、印度、越南和缅甸。
绕过本地防火墙
-
驻留在系统内存中并部署反取证操作(擦除进程环境,尽管它没有成功,因为它使其为空)
-
加载伯克利包过滤器 (BPF) 嗅探器,使其能够在任何本地运行的防火墙前工作以查看数据包
-
接收相关数据包时修改“iptables”规则以允许攻击者通过本地防火墙进行通信
-
以类似于常见 Linux 系统守护程序的名称伪装二进制文件
-
重命名并运行为 /dev/shm/kdmtmpflush
-
将二进制文件(timestomping)的日期更改为 2008 年 10 月 30 日,然后再将其删除
命令和检测
威胁情报和事件响应公司 ExaTrack的 Tristan Pourcelot 对 BPFdoor 的另一项 技术分析指出,该恶意软件带有几个硬编码名称,这些名称与相关数据包中的命令字符串相匹配:
justtryit、justrobot和justforfun在端口 42391 到 42491 上建立绑定 shell
socket或sockettcp为数据包中存在的 IP 地址设置反向 shell
BPFdoor 逃避检测的部分技术是使用以下选项重命名二进制文件以显示为普通的 Linux 守护进程:
/sbin/udevd -d
/sbin/mingetty /dev/tty7
/usr/sbin/console-kit-daemon --no-daemon
hald-addon-acpi: listening on acpi kernel interface /proc/acpi/event
dbus-daemon --system
hald-runner
pickup -l -t fifo -u
avahi-daemon: chroot helper
/sbin/auditd -n
/usr/lib/systemd/systemd-journald
END
阅读推荐
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
原文始发于微信公众号(安全圈):【安全圈】BPFdoor:隐形Linux恶意软件绕过防火墙进行远程访问
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论