![新型BPFDoor 控制器曝光:助力攻击者实现Linux服务器隐蔽横向移动]( "新型BPFDoor 控制器曝光:助力攻击者实现Linux服务器隐蔽横向移动")
网络安全研究人员发现,在2024年针对韩国、中国香港、缅甸、马来西亚和埃及电信、金融及零售行业的网络攻击中,出现了一种与已知后门程序BPFDoor相关的新型控制器组件。
趋势科技研究员Fernando Mercês在本周发布的技术报告中指出:"该控制器可开启反向shell,使攻击者能够实施横向移动,进一步深入被攻陷的网络,从而控制更多系统或获取敏感数据。"此次攻击活动被归因于一个代号为Earth Bluecrow(又称DecisiveArchitect、Red Dev 18和Red Menshen)的威胁组织。
BPFDoor是一款Linux后门程序,最早于2022年曝光。公开披露前至少一年,该恶意软件已被用作针对亚洲和中东地区实体的长期间谍工具。其最显著特点是能为威胁攻击者创建持久且隐蔽的通道,实现对受感染工作站的长期控制和敏感数据访问。
该恶意软件得名于其使用的伯克利数据包过滤器(BPF,Berkeley Packet Filter)技术。该技术允许程序将网络过滤器附加到开放套接字,通过检查传入网络数据包并监测特定Magic Byte序列来触发恶意活动。
Mercês解释道:"由于BPF在目标操作系统中的实现方式,即使防火墙拦截了数据包,这种魔法数据包仍能触发后门。当数据包到达内核的BPF引擎时,就会激活驻留的后门程序。虽然这些特性在rootkit中很常见,但在后门程序中并不典型。"
趋势科技最新分析发现,受攻击的Linux服务器还感染了一个此前未记录的恶意软件控制器。该组件用于在横向移动后访问同一网络中的其他受影响主机。
Mercês详细说明:"在发送由BPFDoor恶意软件插入的BPF过滤器检查的'魔法数据包'之前,控制器会要求用户输入密码,该密码也将在BPFDoor端进行验证。"随后,控制器会根据提供的密码和使用的命令行选项,指示受感染机器执行以下操作之一:
值得注意的是,控制器发送的密码必须与BPFDoor样本中的硬编码值之一匹配。除支持TCP、UDP和ICMP协议控制受感染主机外,该控制器还可启用加密模式确保通信安全。
此外,控制器支持所谓的直接连接模式,使攻击者能够直接连接受感染机器并获取远程访问shell——但前提是提供正确的密码。Mercês警告称:"BPF为恶意软件开发者开辟了新的可能性窗口。作为威胁研究人员,我们必须通过分析BPF代码来应对未来发展,这将帮助组织抵御基于BPF的威胁。"
![新型BPFDoor 控制器曝光:助力攻击者实现Linux服务器隐蔽横向移动]( "新型BPFDoor 控制器曝光:助力攻击者实现Linux服务器隐蔽横向移动")
![新型BPFDoor 控制器曝光:助力攻击者实现Linux服务器隐蔽横向移动]( "新型BPFDoor 控制器曝光:助力攻击者实现Linux服务器隐蔽横向移动")
![新型BPFDoor 控制器曝光:助力攻击者实现Linux服务器隐蔽横向移动]( "新型BPFDoor 控制器曝光:助力攻击者实现Linux服务器隐蔽横向移动")
原文始发于微信公众号(FreeBuf):新型BPFDoor 控制器曝光:助力攻击者实现Linux服务器隐蔽横向移动
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3978896.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论