Daha sağlam şifreleme ve ters kabuk iletişimi içeren Linux kötü amaçlı 'BPFDoor' nun yeni, daha gizli bir varyantı keşfedildi.
BPFDoor, en az 2017'den beri aktif olan ancak sadece 12 ay önce güvenlik araştırmacıları tarafından keşfedilen gizli bir arka kapı kötü amaçlı yazılımdır.
Kötü amaçlı yazılım, adını gelen trafik güvenlik duvarı kısıtlamalarını atlarken talimatları almak için 'Berkley Paket Filtresi' (BPF) kullanımından alır.
BPFDoor, tehdit aktörlerinin ihlal edilen Linux sistemlerinde uzun süreli kalıcılığı korumasına ve uzun süreler boyunca tespit edilmemesine izin vermek için tasarlanmıştır.
2022 yılına kadar, kötü amaçlı yazılım RC4 şifrelemesi, bağlama kabuğu ve iletişim için iptables kullanırken, komutlar ve dosya adları sabit kodlanmıştır.
Derin içgüdüyle analiz edilen daha yeni varyant, statik kütüphane şifrelemesi, ters kabuk iletişimi ve tüm komutlar C2 sunucusu tarafından gönderilir.
Şifrelemeyi statik bir kütüphaneye dahil ederek, kötü amaçlı yazılım geliştiricileri, RC4 Cipher algoritmasını içeren biri gibi harici kütüphanelere güvenmek için daha iyi gizli ve şaşkınlık elde eder.
Ters kabuğun bağ kabuğuna karşı ana avantajı, birincisinin enfekte olmuş ana bilgisayardan tehdit oyuncusunun komutuna ve kontrol sunucularına bir bağlantı kurması ve bir güvenlik duvarı ağı koruduğunda bile saldırganların sunucularıyla iletişim kurmasıdır.
Son olarak, sert kodlanmış komutların kaldırılması, anti-virüs yazılımının imza tabanlı algılama gibi statik analiz kullanarak kötü amaçlı yazılımları tespit etmesini daha az sağlar. Teorik olarak, daha çeşitli bir komut setini destekleyerek daha fazla esneklik sağlar.
Deep Instinct, BPFDoor'un en son sürümünün, Şubat 2023 tarihli platformdaki ilk sunumuna rağmen, Virustotal'daki mevcut AV motorları tarafından kötü niyetli olmadığını bildirdi.
İlk yürütme üzerine BPFDoor, "/var/run/initd.lock" adresinden bir çalışma zamanı dosyası oluşturur ve kilitler ve daha sonra kendisini bir çocuk süreci olarak çalıştırmaya çalışır ve son olarak kendini kesintiye uğratabilecek çeşitli işletim sistemi sinyallerini görmezden gelmek için ayarlar.
Daha sonra, kötü amaçlı yazılım bir bellek arabelleği tahsis eder ve "sihirli" bayt dizisi için gelen trafiği izlemek için kullanacağı bir paket koklama soketi oluşturur ("\ x44 \ x30 \ xcd \ x9f \ x5e \ x14 \ x27 \ x66") .
Bu aşamada, BPFDoor, 22 (SSH), 80 (HTTP) ve 443 (HTTP) bağlantı noktalarından sadece UDP, TCP ve SCTP trafiğini okumak için sokete bir Berkley paket filtresi ekler.
İhlal edilen makinede bulunan güvenlik duvarı kısıtlamaları bu koklama etkinliğini etkilemez, çünkü BPFDoor o kadar düşük bir seviyede çalışırlar.
"BPFDoor, filtrelenmiş trafikte" sihirli "baytlarını içeren bir paket bulduğunda, onu operatöründen bir mesaj olarak ele alacak ve iki alanı ayrıştıracak ve tekrar çatallayacaktır."
"Ana işlem, soketten gelen filtrelenmiş trafiği izlerken izlerken, çocuk daha önce ayrıştırılmış alanlara bir komut ve kontrol IP-port kombinasyonu olarak ele alacak ve onunla iletişime geçmeye çalışacaktır."
C2 ile bir bağlantı kurduktan sonra, kötü amaçlı yazılım ters bir kabuk kurar ve sunucudan bir komut bekler.
BPFDoor güvenlik yazılımı tarafından tespit edilmemiştir, bu nedenle sistem yöneticileri yalnızca son teknoloji bitiş noktası koruma ürünlerini kullanarak sadece güçlü ağ trafiğine ve günlük izlemesine güvenebilir ve "/var/run/initd.lock" daki dosya bütünlüğünü izleyebilir.
Ayrıca, CrowdStrike'ın Mayıs 2022 raporu, BPFDoor'un hedeflenen sistemlerde kalıcılık elde etmek için 2019 güvenlik açığı kullandığını vurguladı, bu nedenle mevcut güvenlik güncellemelerinin uygulanması her zaman her tür kötü amaçlı yazılım için önemli bir stratejidir.
Virustotal AI kod analizi Windows, Linux komut dosyası desteğini genişletir
Çinli bilgisayar korsanları casusluk için yeni Linux kötü amaçlı yazılım varyantları kullanıyor
Ex-Conti üyeleri ve Fin7 Devs yeni Domino kötü amaçlı yazılımları zorlamak için bir araya geliyor
3CX, tedarik zinciri saldırısının arkasındaki Kuzey Koreli bilgisayar korsanlarını onayladı
Kripto para birimi şirketleri 3CX tedarik zinciri saldırısında geri yüklendi
Kaynak: Bleeping Computer