BPF门控制器
网络安全研究人员发现了一个与臭名昭著的 BPFDoor 后门相关的新控制器组件。这一最新发现正值 2024 年针对韩国、香港、缅甸、马来西亚和埃及的电信、金融和零售行业持续不断的网络攻击之际。
目录
深入挖掘:反向 Shell 和横向移动能力
新发现的控制器可以打开反向shell,这对攻击者来说是一个强大的工具。此功能可实现横向移动,使网络犯罪分子能够更深入地渗透受感染的网络,控制更多系统,并可能访问敏感数据。
归因之谜:幕后黑手是谁?
这些攻击已被初步认定与一个名为“Earth Bluecrow”的威胁组织有关,该组织也使用诸如“DecisiveArchitect”、“Red Dev 18”和“Red Menshen”等别名。然而,这种归因的可信度尚属中等。原因何在?BPFDoor 的源代码于 2022 年泄露,这意味着其他威胁行为者现在可能也在利用它。
BPFDoor:一种持久且隐蔽的间谍工具
BPFDoor 是一个 Linux 后门,于 2022 年首次曝光,但实际上它已投入使用至少一年,主要针对亚洲和中东地区的组织。它的独特之处在于能够长期隐蔽地访问受感染的计算机,非常适合间谍活动。
工作原理:伯克利数据包过滤器的魔力
该恶意软件的名称源于其使用的伯克利数据包过滤器 (BPF)。BPF 允许软件检查传入的网络数据包中是否存在特定的“魔法字节”序列。当检测到这种独特的模式时,它会触发后门——即使防火墙已启用。这是由于 BPF 在内核级别运行,绕过了传统的防火墙保护机制。虽然这种技术在 Rootkit 中很常见,但在后门中却很少见。
新玩家:未记录的恶意软件控制者
最近的分析显示,受感染的 Linux 服务器还感染了一个此前未记录的恶意软件控制器。一旦进入网络,该控制器就会促进横向移动,并将攻击者的攻击范围扩展到其他系统。
在发送“魔法包”之前,控制器会提示操作员输入密码——该密码必须与 BPFDoor 恶意软件中的硬编码值匹配。如果通过身份验证,它可以执行以下几个命令之一:
- 打开反向shell
增强功能:协议支持和加密
该控制器功能多样,支持 TCP、UDP 和 ICMP 协议。它还具有可选的加密模式,可实现安全通信。高级直接模式允许攻击者立即连接到受感染的计算机——同样,只有输入正确的密码才能连接。
展望未来:BPF 威胁不断扩大
BPF 为网络攻击者开辟了全新且尚未开发的领域。它能够突破传统防御机制,因此对经验丰富的恶意软件编写者来说极具吸引力。对于网络安全专业人员而言,理解和分析基于 BPF 的威胁对于防范未来攻击至关重要。
