12 Mayıs 2023Ravie LakshmananLinux / Kötü Amaçlı Yazılım
Linux arka kapısının önceden belgelenmemiş ve çoğunlukla tespit edilmemiş bir çeşidi BPFKapı Siber güvenlik firması Deep Instinct, bu hafta yayınlanan teknik bir raporda, vahşi ortamda tespit edildiğini söyledi.
Güvenlik araştırmacıları Shaul Vilkomir-Preisman ve Eliran Nissan, “BPFDoor, bu son yinelemeyle son derece gizli ve tespit edilmesi zor bir kötü amaçlı yazılım olarak itibarını koruyor.” söz konusu.
BPFDoor (aka JustForFun), ilk olarak tarafından belgelenmiştir. PwC Ve Elastik Güvenlik Laboratuvarları Mayıs 2022’de, adlı Çinli bir tehdit aktörüyle ilişkili pasif bir Linux arka kapısıdır. kırmızı menşen (diğer adıyla KararlıMimar veya en az 2021’den beri Orta Doğu ve Asya’daki telekom sağlayıcılarını seçtiği bilinen Red Dev 18).
Kötü amaçlı yazılım özellikle şunlara yöneliktir: kalıcı uzaktan erişim oluşturma yıllarca tespit edilmeden arka kapıyı çalıştıran bilgisayar korsanlığı ekibine işaret eden kanıtlarla birlikte, uzun süreler boyunca güvenliği ihlal edilmiş hedef ortamlara.
BPFDoor, adını Berkeley Paket Filtrelerinin (BPF) – ağ iletişimleri ve gelen komutları işlemek için Linux sistemlerinde ağ trafiğini analiz etmeyi ve filtrelemeyi mümkün kılan bir teknoloji.
Bunu yaparken, tehdit aktörleri bir kurbanın sistemine girebilir ve güvenlik duvarları tarafından algılanmadan rastgele kod çalıştırırken aynı anda gereksiz verileri filtreleyebilir.
Deep Instinct’in bulguları bir BPFKapı artefaktı 8 Şubat 2023’te VirusTotal’a yüklendi. Yazma tarihi itibariyle, yalnızca üç güvenlik satıcısı ELF ikili dosyasını kötü amaçlı olarak işaretledi.
BPFDoor’un yeni sürümünü daha da kaçamak yapan temel özelliklerden biri, birçok sabit kodlanmış göstergeyi kaldırması ve bunun yerine şifreleme için statik bir kitaplık içermesidir (libtomcrypt) ve komut ve kontrol (C2) iletişimi için bir ters kabuk.
Başlatıldığında, BPFDoor, çeşitli işletim sistemi sinyalleri sonlandırılmasını önlemektir. Daha sonra bir bellek arabelleği tahsis eder ve gelen trafiği belirli bir kodla izleyen özel bir paket koklama soketi oluşturur. Sihirli Bayt dizisi ham sokete bir BPF filtresi takarak.
Araştırmacılar, “BPFdoor, filtrelenmiş trafikte Sihirli Baytlarını içeren bir paket bulduğunda, bunu operatöründen gelen bir mesaj olarak değerlendirecek ve iki alanı ayrıştıracak ve tekrar kendini çatallayacaktır.”
“Ana süreç devam edecek ve soketten gelen filtrelenmiş trafiği izleyecek, çocuk ise önceden ayrıştırılmış alanları bir komut ve kontrol IP-Port kombinasyonu olarak ele alacak ve onunla bağlantı kurmaya çalışacak.”
Son aşamada BPFDoor, C2 sunucusuyla şifreli bir ters kabuk oturumu kurar ve güvenliği ihlal edilmiş makinede yürütülecek diğer talimatları bekler.
BPFDoor’un uzun bir süre gizli kalması, tehdit aktörlerinin kurumsal ve bulut ortamlarındaki yaygınlıkları nedeniyle Linux sistemlerini hedef alan kötü amaçlı yazılımları giderek daha fazla geliştirmesiyle, onun karmaşıklığını gösteriyor.
Geliştirme Google olarak geliyor ilan edildi yeni genişletilmiş Berkeley Paket Filtresi (eBPF) bulanık çerçeve denir Zil Linux’u güçlendirmeye yardımcı olmak için çekirdek ayrıcalıklı bir bağlamda çalışan korumalı programların geçerli ve güvenli olmasını sağlayın.
Teknoloji devi ayrıca test yönteminin keşfedilmesine yol açtığını söyledi. güvenlik açığı (CVE-2023-2163), çekirdek belleğinin rasgele okunmasını ve yazılmasını sağlamak için kullanılabilir.