غذای اصلی
- BPFDoor یک پشتی با حمایت مالی است که برای فعالیت های مربوط به احترام سایبری طراحی شده است. از طریق تحقیقات ما در مورد حملات BPFDoor ، ما یک کنترل کننده را کشف کردیم که مشاهده نشده است که در هیچ جای دیگر مورد استفاده قرار نمی گیرد. ما این کنترلر را به Pink Menshen ، یک گروه تهدید مداوم (APT) پیشرفته نسبت می دهیم که مسیرهای خرد را به عنوان Bluecrow Earth می کند.
- کنترل کننده می تواند یک پوسته معکوس را باز کند. این می تواند حرکت جانبی را به شما امکان دهد ، مهاجمان را قادر می سازد تا عمیق تر به شبکه های به خطر افتاده وارد شوند و به آنها امکان کنترل سیستم های بیشتر یا دسترسی به داده های حساس را می دهند.
- به گفته تله متری ما ، BPFDoor اخیر حملات صفر در بخش های ارتباطات ، امور مالی و خرده فروشی با حملات مشاهده شده در کره جنوبی ، هنگ کنگ ، میانمار ، مالزی و مصر مشاهده می شود.
- BPFDoor مجهز به تکنیک های مخفیگاه دفاعی است. Development Imaginative and prescient One ™ Safety Community دارای قوانین پیشگیری از نفوذ TippingPoint و Deep Discovery Respector (DDI) در دسترس است تا مشتریان خرد را برای محافظت از آنها در برابر این تهدید محافظت کنند.
با کمک های محمد موکل ، دانیل لونگی ، فیک هاکبورد و کارل جیسون پلینا
مقدمه
rootkit خفاش مانند نرم افزاری معروف به BPFDoor (به عنوان backdoor.linux.bpfdoor شناسایی شده است) در بستر با قابلیت های مخفیانه قوی ، بیشتر آنها مربوط به استفاده از فیلتر بسته بندی برکلی (BPF) است.
در مقاله قبلی ، ما چگونه پوشش دادیم bpfdoor وت بدافزار با قابلیت BPF کار BPF یک فناوری برای اجرای کد در دستگاه مجازی هسته سیستم عامل است. بیش از 20 سال است که می گذرد و بعد از سال 2014 هنگامی که EBPF (کوتاه برای BPF طولانی در آن زمان) منتشر شد ، توجه زیادی را به خود جلب کرد.
BPFDoor از ویژگی های فیلتر بسته BPF ، که گاهی اوقات Traditional BPF (CBPF) نامیده می شود ، استفاده می کند. بدافزار BPFDoor فیلتر را بارگیری می کند که قادر به بازرسی از بسته های شبکه در لایه های بالایی پشته سیستم عامل مانند Netfilter (فایروال لینوکس) یا هر ابزار ضبط ترافیک است.
فیلتر بارگذاری شده توسط BPFDoor باعث می شود که بدافزار توسط بسته های شبکه حاوی “توالی جادویی” فعال شود – مجموعه ای از توالی بایت تعریف شده توسط بازیگر تهدید که به پشت پرده در دستگاه آلوده می گوید برای انجام یک عمل. بدافزار دیگر ، مانند همزیستی ، همچنین از BPF برای ارائه عملکرد مشابه استفاده می کند.
به دلیل نحوه اجرای BPF در سیستم عامل هدفمند ، بسته جادویی با وجود مسدود شدن توسط یک فایروال ، پشتی را تحریک می کند. با رسیدن این بسته به موتور BPF هسته ، پشت پرده ساکن را فعال می کند. در حالی که این ویژگی ها در rootkits متداول است ، اما به طور معمول در پشتوانه ها یافت نمی شود.
یک پشتی مانند این می تواند برای مدت طولانی در یک شبکه پنهان بماند ، و رفت و آمد های امنیتی گاه به گاه مانند اسکن های بندر چیزی غیر معمول نخواهد دید. همچنین دارای تکنیک های فرار است ، مانند اینکه چگونه می تواند نام فرآیند را تغییر دهد و چگونه Backdoor به هیچ پورت گوش نمی دهد ، و این باعث می شود مدیران سیستم گمان کنند که چیزی در سرورها اشتباه است. این BPFDoor به عنوان ابزاری مناسب برای جاسوسی طولانی مدت است.
پیش زمینه و آخرین اهداف
BPFDoor حداقل چهار سال است که با گزارش توسط PWC با ذکر حوادث متعدد مربوط به آن در سال 2021. همین گزارش همچنین پشتی را به مننشن قرمز نسبت داد.
گفته تهدید مداوم پیشرفته (APT) گروه ، که به عنوان Bluecrow Earth Development آهنگ می کند ، هنوز هم به طور فعال شرکت ها را در منطقه آسیا ، خاورمیانه و آفریقا (AMEA) مطابق با تله متری ما هدف قرار می دهد.
| تاریخ | کشور | صنعت |
| دسامبر 2024 | کره جنوبی | ارتباطات از راه دور |
| دسامبر 2024 | میانمار | ارتباطات از راه دور |
| اکتبر 2024 | مالزی | خرده فروشی |
| سپتامبر 2024 | مصر | خدمات مالی |
| ژوئیه 2024 | کره جنوبی | ارتباطات از راه دور |
| ژانویه 2024 | هنگ کنگ | ارتباطات از راه دور |
جدول 1. توزیع کشور و صنعت شرکتهای هدفمند BPFDOOR در سال 2024
این بازیگر تهدید سرورهای لینوکس را از سازمان های فوق الذکر هدف قرار داد. آنها از مسیرهای مختلفی برای پنهان کردن بدافزار استفاده کردند ، مانند /tmp/zabbix_agent.logبا /bin/vmtoolsdsrvوت /and so forth/sysconfig/rhn/rhnsd.confبشر بررسی در مورد استفاده از نقطه ورود اولیه هنوز در حال انجام است.
در میان سرورهای هدفمند ، ما یک کنترلر بدافزار را پیدا کردیم که برای دسترسی به سایر میزبان های آسیب دیده در همان شبکه پس از آن استفاده می شود حرکت جانبیبشر در بعضی موارد ، بیش از یک سرور به خطر افتاد.
این نشان می دهد که Bluecrow Earth به طور فعال کنترل میزبان های آلوده به BPFDoor و بارگذاری ابزارهای اضافی برای استفاده بعدی است. این پرونده کنترلر خاص مشاهده نشده است که در هر جای دیگر مورد استفاده قرار نمی گیرد.
کنترل کننده bpfdoor
این کنترلر جزئیات جالبی را در مورد تکنیک های به دست آمده توسط این بازیگر تهدید نشان می دهد.
قبل از ارسال یکی از “بسته های جادویی” که توسط فیلتر BPF درج شده توسط BPFDoor Malware بررسی شده است ، کنترلر از کاربر خود رمز عبور را می خواهد که در سمت BPFDoor نیز بررسی شود.
بسته به رمز عبور ارائه شده و گزینه های خط فرمان استفاده شده ، کنترل کننده از دستگاه آلوده می خواهد که یکی از این اقدامات را انجام دهد:
- یک پوسته معکوس را باز کنید
- اتصالات جدید را به یک پوسته در یک درگاه خاص هدایت کنید
- تأیید کنید که پشتی فعال است
در زیر لیستی از گزینه های پشتیبانی شده وجود دارد:
| گزینه | شرح |
| بنگاه | به یک درگاه TCP مشخص گوش دهید (در صورت دریافت اتصال ، یک پوسته را تخم ریزی کنید) |
| -C | رمزگذاری را روشن کنید |
| -d | درگاه مقصد روی میزبان آلوده (هر درگاه باز) |
| -s -f | یک توالی جادویی متفاوت برای پروتکل های TCP یا UDP تنظیم کنید |
| -h | میزبان مقصد (دستگاه آلوده برای کنترل) |
| -i | حالت ICMP |
| -s -l | تنظیم میزبان از راه دور دستگاه آلوده به (پوسته معکوس) وصل می شود |
| -m | آدرس IP محلی را به عنوان میزبان از راه دور تنظیم کنید. این گزینه -l را بازنویسی می کند |
| -n | از رمز عبور استفاده نکنید (بررسی کنید که آیا پشتی زنده است) |
| -o | دنباله جادویی را روی 0x7155 تنظیم کنید |
| -p | رمز عبور را تنظیم کنید. اگر غایب باشد ، این برنامه به طور تعاملی از آن درخواست می کند |
| -S -S | درگاه از راه دور دستگاه آلوده به (پوسته معکوس) وصل می شود |
| -s -t | بلااست |
| -u | حالت UDP |
| -w | حالت TCP |
| -x | دنباله جادویی را برای ICMP تنظیم کنید |
رمز عبور ارسال شده توسط کنترلر باید با یکی از مقادیر سخت کد شده در نمونه BPFDoor مطابقت داشته باشد. در نمونه ای که با کنترلر که پیدا کردیم جفت شد ، بدافزار رمز عبور متن شفاف را با نمک ثابت پیشوند می کند ، هش MD5 آن را محاسبه می کند و آن را با مقادیر سخت کد شده مقایسه می کند ، همانطور که در تصویر زیر نشان داده شده است:
