Una variante previamente no documentada y en su mayoría no detectada de una puerta trasera de Linux llamada BPFPuerta ha sido detectado en la naturaleza, dijo la firma de ciberseguridad Deep Instinct en un informe técnico publicado esta semana.
«BPFDoor conserva su reputación como un malware extremadamente sigiloso y difícil de detectar con esta última iteración», dijeron los investigadores de seguridad Shaul Vilkomir-Preisman y Eliran Nissan. dicho.
BPFDoor (también conocido como JustForFun), documentado por primera vez por PwC y Laboratorios de seguridad elástica en mayo de 2022, es una puerta trasera pasiva de Linux asociada con un actor de amenazas chino llamado menshen rojo (también conocido como Arquitecto Decisivo o Red Dev 18), que se sabe que destaca a los proveedores de telecomunicaciones en Medio Oriente y Asia desde al menos 2021.
El malware está específicamente dirigido a establecer acceso remoto persistente a entornos de destino comprometidos durante largos períodos de tiempo, con evidencia que apunta a que el equipo de piratería operó la puerta trasera sin ser detectado durante años.
BPFDoor recibe su nombre del uso de Berkeley Packet Filters (BPF) – una tecnología que permite analizar y filtrar el tráfico de red en sistemas Linux – para comunicaciones de red y procesar comandos entrantes.
Al hacerlo, los actores de amenazas pueden penetrar en el sistema de una víctima y ejecutar código arbitrario sin ser detectados por los firewalls, al mismo tiempo que filtran datos innecesarios.
Los hallazgos de Deep Instinct provienen de un BPFArtefacto de puerta que se cargó en VirusTotal el 8 de febrero de 2023. Al momento de escribir, solo tres proveedores de seguridad han marcado el binario ELF como malicioso.
Una de las características clave que hacen que la nueva versión de BPFDoor sea aún más evasiva es la eliminación de muchos indicadores codificados y, en su lugar, la incorporación de una biblioteca estática para el cifrado (libtomcrypt) y un shell inverso para la comunicación de comando y control (C2).
Tras el lanzamiento, BPFDoor está configurado para ignorar varios señales del sistema operativo para evitar que se termine. A continuación, asigna un búfer de memoria y crea un socket de detección de paquetes especial que supervisa el tráfico entrante con un determinado Secuencia de bytes mágicos conectando un filtro BPF en el zócalo sin formato.
«Cuando BPFdoor encuentra un paquete que contiene sus Magic Bytes en el tráfico filtrado, lo tratará como un mensaje de su operador y analizará dos campos y se bifurcará nuevamente», explicaron los investigadores.
«El proceso principal continuará y monitoreará el tráfico filtrado que ingresa a través del socket, mientras que el proceso secundario tratará los campos analizados previamente como una combinación de puerto IP de comando y control e intentará contactarlo».
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
En la etapa final, BPFDoor establece una sesión de shell inversa cifrada con el servidor C2 y espera que se ejecuten más instrucciones en la máquina comprometida.
El hecho de que BPFDoor haya permanecido oculto durante mucho tiempo habla de su sofisticación, ya que los actores de amenazas desarrollan cada vez más malware dirigido a los sistemas Linux debido a su prevalencia en entornos empresariales y de nube.
El desarrollo viene como Google Anunciado un nuevo filtro de paquetes de Berkeley ampliado (eBPF) marco fuzzing llamado Zumbador para ayudar a fortalecer Linux núcleo y garantizar que los programas de espacio aislado que se ejecutan en un contexto privilegiado sean válidos y seguros.
El gigante tecnológico dijo además que el método de prueba condujo al descubrimiento de un falla de seguridad (CVE-2023-2163) que podría explotarse para lograr lecturas y escrituras arbitrarias de la memoria del kernel.