BPF門控制器

網路安全研究人員發現了與臭名昭著的 BPFDoor 後門相關的新控制器組件。這項最新發現是在 2024 年針對韓國、香港、緬甸、馬來西亞和埃及的電信、金融和零售業持續遭受網路攻擊的背景下得出的。

深入挖掘：反向 Shell 和橫向移動能力

新發現的控制器可以打開反向shell，這對攻擊者來說是一個強大的工具。此功能可實現橫向移動，讓網路犯罪分子深入受感染的網路、控制更多系統並可能存取敏感資料。

歸因之謎：幕後黑手是誰？

這些攻擊暫時與一個名為 Earth Bluecrow 的威脅組織有關，該組織也以 DecisiveArchitect、Red Dev 18 和 Red Menshen 等別名而聞名。然而，這種歸因具有中等可信度。原因是什麼？ BPFDoor 的源代碼於 2022 年洩露，這意味著其他威脅行為者現在可能也在利用它。

BPFDoor：一種持久且隱密的間諜工具

BPFDoor 是一個 Linux 後門，於 2022 年首次曝光，但它已經使用了至少一年，目標是亞洲和中東的組織。它的獨特之處在於它能夠長期秘密地訪問受感染的機器——非常適合間諜活動。

工作原理：伯克利數據包過濾器的魔力

該惡意軟體的名稱來自其使用的伯克利資料包過濾器 (BPF)。 BPF 允許軟體檢查傳入的網路封包是否有特定的「魔字節」序列。當檢測到這種獨特的模式時，它會觸發後門——即使有防火牆。這是因為 BPF 在核心層級運行，繞過了傳統的防火牆保護。儘管這種技術在 rootkit 中很常見，但在後門中卻很少見。

新玩家：未記錄的惡意軟體控制者

最近的分析表明，受感染的 Linux 伺服器也感染了以前未記錄的惡意軟體控制器。一旦進入網絡，該控制器就會促進橫向移動，並將攻擊者的攻擊範圍擴展到其他系統。

在發送「魔術包」之前，控制器會提示操作員輸入密碼——此密碼必須與 BPFDoor 惡意軟體中的硬編碼值相符。如果經過身份驗證，它可以執行以下幾個命令之一：

• 打開反向shell

增強功能：協定支援和加密

此控制器功能多樣，支援 TCP、UDP 和 ICMP 協定。它還具有可選的加密模式，可實現安全通訊。高級直接模式允許攻擊者立即連接到受感染的機器——同樣，只有使用正確的密碼才能連接。

展望未來：BPF 威脅不斷擴大

BPF 為網路攻擊者開闢了新的、很大程度上未開發的領域。它能夠突破傳統防禦，這使其成為老練的惡意軟體作者所青睞的工具。對於網路安全專業人士來說，了解和分析基於 BPF 的威脅對於防範未來的攻擊至關重要。