BPFDoor 恶意软件利用反向 Shell 扩展对受感染网络的控制

新一波网络间谍攻击使 BPFDoor 恶意软件成为人们关注的焦点，成为一种破坏网络的隐秘而危险的工具。

趋势科技安全专家称，BPFDoor 是一个APT组织的后门。

该恶意软件利用反向shell和复杂的伯克利包过滤（BPF）技术渗透和控制亚洲和中东地区的电信、金融和零售行业的系统。

BPFDoor 恶意软件

BPFDoor 是一个被检测为 Backdoor.Linux.BPFDOOR 的后门，由于依赖于内核级数据包过滤技术 BPF，因此功能非常强大。

虽然其核心功能类似于 rootkit，但 BPFDoor 的独特之处在于它能够不被防火墙检测到并逃避传统的网络扫描。

该恶意软件在收到“魔法序列”（嵌入在网络数据包中的特定字节字符串）时激活，从而触发目标机器上的预定义操作。

BPFDoor 的主要隐身功能包括更改进程名称、避免端口监听和绕过安全日志。

这使得它非常适合长期间谍活动，允许攻击者深深嵌入网络而不引起怀疑。

反向 Shell 技术和横向移动

BPFDoor 令人担忧的功能之一是使用反向 shell 来扩大对受感染系统的控制。

反向 Shell 允许攻击者通过反转典型的客户端-服务器通信模型，在受感染的服务器上远程运行命令。通过这种模式，攻击者可以跨网络横向移动，访问敏感数据或控制其他系统。

威胁行为者使用自定义控制器，通过三种协议（TCP、UDP 和 ICMP）部署反向 Shell。一旦激活，恶意软件就会绕过标准安全防御措施与攻击者的系统进行通信。

例如，控制器命令可以要求 BPFDoor 在受感染的主机和攻击者的机器之间打开加密的反向 shell 会话，从而实现无缝远程访问。

该控制器还允许攻击者修改密码、魔法序列和目标端口等参数，增强针对不同目标的定制。

这种多功能性使得 Earth Bluecrow 能够针对不同的行业和地区调整其攻击方式。

技术报告：

https://www.trendmicro.com/en_us/research/25/d/bpfdoor-hidden-controller.html

新闻链接：

https://gbhackers.com/bpfdoor-malware/