FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

高级rootkit威胁加剧

网络安全领域正面临两大Linux rootkit的严峻威胁——BPFDoor和Symbiote通过利用eBPF技术成功规避传统检测系统。这两款均源自2021年的恶意软件将高级内核级访问能力与强大的隐蔽技术相结合，构成极高风险。仅2025年，安全研究人员就发现151个BPFDoor新样本和3个Symbiote样本，表明攻击者仍在持续针对关键基础设施开发部署这类威胁。

eBPF技术遭武器化

这些rootkit利用eBPF（extended Berkeley Packet Filter）技术实现攻击。这项2015年引入的Linux内核技术本用于网络监控与安全领域，允许用户向内核加载沙盒程序来检查修改网络数据包和系统调用。但恶意软件开发者将其武器化，创建出几乎无法检测的后门程序，可拦截通信并维持持久访问而不触发传统安全警报。

国家级攻击者首选工具

Fortinet安全分析师指出，这两类恶意软件持续进化出更复杂的过滤机制以绕过现代防御系统。Symbiote最新变种（2025年7月版本）已支持通过54778、58870等非常规端口处理TCP/UDP/SCTP协议的IPv4/IPv6数据包。这种端口跳跃技术使恶意流量难以被准确拦截。这类需要专业技术开发的eBPF rootkit已成为国家背景攻击者渗透关键系统的理想选择。

隐蔽通信技术升级

BPFDoor的2025变种新增IPv6流量支持，并精妙过滤53端口的IPv4/IPv6 DNS流量——通过伪装成合法DNS查询，恶意通信可完美融入正常网络活动。其技术实现采用直接附加到网络套接字的eBPF字节码，作为用户空间工具不可见的内核级数据包过滤器。逆向工程显示，这些字节码包含精心设计的检查例程，能通过特定端口与协议组合识别指令数据包，并悄无声息地将其传送到命令服务器。

检测面临严峻挑战

由于eBPF过滤器运行在内核层面，标准安全监控工具难以察觉。目前Fortinet通过基于特征的防病毒引擎和专门监测反向Shell与僵尸网络活动的IPS签名来检测这类威胁。

参考来源：

BPFDoor and Symbiote Rootkits Attacking Linux Systems Exploiting eBPF Filters

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）