Une variante auparavant non document\u00e9e et pour la plupart non d\u00e9tect\u00e9e d’une porte d\u00e9rob\u00e9e Linux appel\u00e9e Porte BPF<\/strong> a \u00e9t\u00e9 rep\u00e9r\u00e9 dans la nature, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Deep Instinct dans un rapport technique publi\u00e9 cette semaine.<\/p>\n \u00ab BPFDoor conserve sa r\u00e9putation de malware extr\u00eamement furtif et difficile \u00e0 d\u00e9tecter avec cette derni\u00e8re it\u00e9ration \u00bb, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Shaul Vilkomir-Preisman et Eliran Nissan. a dit<\/a>.<\/p>\n BPFDoor (alias JustForFun), document\u00e9 pour la premi\u00e8re fois par PwC<\/a> et Laboratoires de s\u00e9curit\u00e9 \u00e9lastiques<\/a> en mai 2022, est une porte d\u00e9rob\u00e9e Linux passive associ\u00e9e \u00e0 un acteur mena\u00e7ant chinois appel\u00e9 Menchen rouge<\/a> (alias D\u00e9cisifArchitecte<\/a> ou Red Dev 18), qui est connu pour distinguer les fournisseurs de t\u00e9l\u00e9communications au Moyen-Orient et en Asie depuis au moins 2021.<\/p>\n Le logiciel malveillant est sp\u00e9cifiquement destin\u00e9 \u00e0 \u00e9tablissement d’un acc\u00e8s \u00e0 distance persistant<\/a> \u00e0 des environnements cibles compromis pendant de longues p\u00e9riodes, avec des preuves indiquant que l’\u00e9quipe de piratage a exploit\u00e9 la porte d\u00e9rob\u00e9e sans \u00eatre d\u00e9tect\u00e9e pendant des ann\u00e9es.<\/p>\n BPFDoor tire son nom de l’utilisation des filtres de paquets Berkeley (BPF<\/a>) \u2013 une technologie qui permet d’analyser et de filtrer le trafic r\u00e9seau dans les syst\u00e8mes Linux \u2013 pour les communications r\u00e9seau et de traiter les commandes entrantes.<\/p>\n Ce faisant, les pirates peuvent p\u00e9n\u00e9trer dans le syst\u00e8me d’une victime et ex\u00e9cuter du code arbitraire sans \u00eatre d\u00e9tect\u00e9s par les pare-feu, tout en filtrant simultan\u00e9ment les donn\u00e9es inutiles.<\/p>\n Les d\u00e9couvertes de Deep Instinct proviennent d’un Art\u00e9fact BPFDoor<\/a> qui a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 sur VirusTotal le 8 f\u00e9vrier 2023. Au moment de la r\u00e9daction, seuls trois fournisseurs de s\u00e9curit\u00e9 ont signal\u00e9 le binaire ELF comme malveillant.<\/p>\n L’une des principales caract\u00e9ristiques qui rendent la nouvelle version de BPFDoor encore plus \u00e9vasive est sa suppression de nombreux indicateurs cod\u00e9s en dur et l’incorporation \u00e0 la place d’une biblioth\u00e8que statique pour le chiffrement (libtomcrypt<\/a>) et un shell invers\u00e9 pour la communication de commande et de contr\u00f4le (C2).<\/p>\n Au lancement, BPFDoor est configur\u00e9 pour ignorer divers signaux du syst\u00e8me d’exploitation<\/a> pour \u00e9viter qu’il ne soit r\u00e9sili\u00e9. Il alloue ensuite une m\u00e9moire tampon et cr\u00e9e un socket sp\u00e9cial de reniflage de paquets qui surveille le trafic entrant avec un S\u00e9quence d’octets magiques<\/a> en accrochant un filtre BPF sur la prise brute.<\/p>\n “Lorsque BPFdoor trouve un paquet contenant ses Magic Bytes dans le trafic filtr\u00e9, il le traite comme un message de son op\u00e9rateur et analyse deux champs et se bifurque \u00e0 nouveau”, ont expliqu\u00e9 les chercheurs.<\/p>\n “Le processus parent continuera et surveillera le trafic filtr\u00e9 passant par le socket tandis que l’enfant traitera les champs pr\u00e9c\u00e9demment analys\u00e9s comme une combinaison de commande et de contr\u00f4le IP-Port et tentera de le contacter.”<\/p>\n Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n Sauvez ma place\u00a0!<\/a><\/div>\n Dans la derni\u00e8re \u00e9tape, BPFDoor met en place une session shell invers\u00e9e chiffr\u00e9e avec le serveur C2 et attend d’autres instructions \u00e0 ex\u00e9cuter sur la machine compromise.<\/p>\n Le fait que BPFDoor soit rest\u00e9 cach\u00e9 pendant une longue p\u00e9riode t\u00e9moigne de sa sophistication, alors que les acteurs de la menace d\u00e9veloppent de plus en plus de logiciels malveillants ciblant les syst\u00e8mes Linux en raison de leur pr\u00e9valence dans les environnements d’entreprise et de cloud.<\/p>\n Le d\u00e9veloppement vient comme Google annonc\u00e9<\/a> un nouveau filtre de paquets Berkeley \u00e9tendu (eBPF<\/a>) cadre de fuzzing appel\u00e9 Avertisseur sonore<\/a> pour aider \u00e0 durcir Linux noyau<\/a> et assurez-vous que les programmes en bac \u00e0 sable qui s’ex\u00e9cutent dans un contexte privil\u00e9gi\u00e9 sont valides et s\u00fbrs.<\/p>\n Le g\u00e9ant de la technologie a en outre d\u00e9clar\u00e9 que la m\u00e9thode de test avait conduit \u00e0 la d\u00e9couverte d’un faille de s\u00e9curit\u00e9<\/a> (CVE-2023-2163) qui pourraient \u00eatre exploit\u00e9es pour obtenir une lecture et une \u00e9criture arbitraires de la m\u00e9moire du noyau.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682937111_165_Un-acteur-vietnamien-de-la-menace-infecte-500-000-appareils.png\")
<\/a><\/center><\/div>\n![\"Porte](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683916059_6_Une-nouvelle-variante-furtive-de-la-porte-derobee-Linux-BPFDoor.png\" "\\"Porte")
<\/div>\n