黑客利用 Linux eBPF 传播恶意软件

关键要点

• 新的 Linux 恶意软件活动：网络安全研究人员发现了一项利用 eBPF 技术并针对全球企业和用户的活跃 Linux 恶意软件活动。

• eBPF 利用：黑客正在滥用 eBPF 的低级功能来隐藏活动、收集数据和绕过安全措施，这使得检测变得困难。

• 木马部署：攻击者使用 eBPF 根工具包来隐藏其存在并放弃能够传输流量并维持私有网络内通信的远程访问木马。

• 用于命令控制的公共平台：恶意软件配置不是存储在私人服务器上，而是存储在 GitHub 和博客等公共平台上，将恶意活动伪装成合法活动。

• 不断增加的 eBPF 恶意软件：基于 eBPF 的恶意软件（包括 Boopkit 和 BPFDoor 等家族）的使用正在增加，仅在 2024 年就发现了 100 多个新漏洞。

网络安全研究人员 Dr. Web 发现了一个针对东南亚企业和用户的新型活跃Linux 恶意软件活动。这一发现是在对其一位客户报告的恶意软件攻击进行调查时发现的。

调查始于一位客户向 Dr. Web 表示担心其计算机基础设施可能受到攻击。在分析客户数据后，Dr. Web 发现了多个类似案例，表明这是一次大规模且活跃的攻击活动。尽管最初不确定攻击者如何获得访问权限，但研究人员成功追踪了攻击的初始阶段。

利用 eBPF 技术

研究人员发现，黑客在攻击中滥用eBPF（扩展伯克利数据包过滤器）技术。需要说明的是，eBPF 最初旨在更好地控制 Linux 操作系统的网络功能。

值得注意的是，eBPF 受到的关注日益增加，尤其是在 2021 年 8 月之后，谷歌、Isovalent、Meta、微软和 Netflix 等科技巨头合作在 Linux 基金会下成立了eBPF 基金会，以支持 eBPF 技术的发展和采用。

然而，在正在进行的攻击中，eBPF 的低级功能使攻击者能够隐藏网络活动、收集敏感信息并绕过安全措施。这使得研究人员很难发现，这对黑客来说是一个有利可图的机会，尤其是对于希望长期访问目标系统的高级持续威胁 (APT) 组织来说。

在这次攻击活动中，正如 Dr. Web 在12 月 10 日发布的报告中所述，攻击者使用 eBPF 加载了两个 rootkit。第一个是 eBPF rootkit，它隐藏了第二个 rootkit 的存在，然后释放了一个能够传输流量的远程访问木马（Trojan.Siggen28.58279 或 Trojan:Win32/Siggen.GR!MTB），使攻击者即使在私有网络内也能与受感染的设备进行通信。

隐藏在众目睽睽之下：公共平台作为指挥中心

威胁者还改变了他们存储恶意软件配置的方式。他们不再依赖私人命令和控制服务器，而是使用流行的、可公开访问的平台。

Dr. Web 分析的恶意软件被发现从 GitHub 等平台甚至中国网络安全博客检索设置。这种策略使恶意流量看起来合法，因为它将其与正常网络活动结合在一起。它还消除了攻击者维护单独控制基础设施的需要，这些基础设施更容易被检测和关闭。

然而，自 2023 年以来，恶意 eBPF 软件的使用一直在增加，出现了几个恶意软件家族，包括 Boopkit、BPFDoor 和 Symbiote。eBPF 技术中发现的大量漏洞进一步加剧了这种情况。

此次持续的网络攻击是政府支持的黑客和网络犯罪分子不惜不顾后果的又一例证。他们的策略（包括利用 eBPF 等先进技术以及使用公共平台进行配置存储）充分表明了这一点。

原文始发于微信公众号（独眼情报）：黑客利用 Linux eBPF 传播恶意软件