Linux BPFDoor Backdoor
Sigurnosni istraživači kompanije Deep Instinct Threat Lab su otkrili do sada nedokumentovanu i do sada ne otkrivenu varijantu Linux backdoor zlonamjernog softvera pod nazivom BPFDoor.
Linux BPFDoor Backdoor; Dizajn: Saša Đurić
Šta je BPFDoor?
BPFDoor je Linux orijentisani, slabo uočljiv, pasivni backdoor, namijenjen da dobije i održi uporište u već kompromitovanim mrežnim i sistemskim okruženjima. Njegova funkcija je da prvenstveno osigura stalni pristup napadaču kompromitovanom okruženju na duži vremenski period. Zlonamjerni softver je dobio ime po zloupotrebi Berkley Packet Filter alata – jedinstvenog načina primanja uputstava i izbjegavanja otkrivanje koji zaobilazi zaštitni zid u dolaznom saobraćaju.
Ovaj zlonamjerni softver se povezuje sa kineskim zlonamjernim akterima Red Menshen (poznati još i kao Red Dev 18). Njihova zona interesa su telekomunikacijski operateri širom Bliskog istoka i Azije, kao i mete u vladinom i obrazovnom sektoru. Kada je prvi put otkriven prije godinu dana, BPFDoor je bio poznat po svom efektnom i elegantnom dizajnu uz veliki naglasak na sakrivanje, što je suština u održavanju dugotrajnog uporišta.
Nova varijanta
Analiza nove varijante zlonamjernog softvera BPFDoor je pokazala neke promjene koje se odnose na statičko šifrovanje biblioteka, obrnutu komunikaciju komandnog okruženja, a sve komande sada šalje komandni server (C2).
Primjena statičkog šifrovanja na biblioteci je omogućila bolje sakrivanje i maskiranje, pošto je uklonjena zavisnost od eksternih biblioteka, posebno onih koje se odnose na RC4 algoritam za šifrovanje.
Glavna prednost obrnute komunikacije komandnog okruženja od klasičnog je što zlonamjerni softver prvi uspostavlja vezu sa komandnim serverom i na taj način omogućava komunikaciju sa serverima pod kontrolom napadača čak i ikada zaštiti zid štiti mrežno okruženje.
I na kraju, uklanjanjem predefinisanih komandi, otežano je sigurnosnim rješenjima da otkriju zlonamjerni softver korištenjem statičkih analiza kao što je analiza potpisa. U teoriji, autorima zlonamjernog softvera ovo daje više fleksibilnosti, jer mogu koristiti različite skupove komandi.
Sigurnosna kompanija Deep Instinct Threat Lab u svom izvještaju navodi da najnovija verzija BPFDoor zlonamjernog softvera nije označena kao zlonamjerna od strane niti jednog dostupnog antivirusnog alata na VirusTotal servisu, iako se prvi put tu pojavila u februaru 2023. godine.
Funkcionisanje
Nakon pokretanja, BPFDoor je konfigurisan da ignoriše različite signale operativnog sistema kako bi spriječio svoje gašenje. Onda sebi dodjeljuje pomoćnu memoriju i kreira poseban priključak za njuškanje dolaznih paketa koji nadgleda dolazni saobraćaj sa specifičnom Magic Byte sekvencom koja povezuje BPF filter na priključak koji hvata sve pakete koji dolaze na uređaj.
Kada BPFDoor pronađe paket koji sadrži magične bajtove u filtriranom saobraćaju, on će ga tretirati kao poruku od strane svog operatera. Izvršiti će analizu dva polja i onda će se rastaviti na dva dijela. Stariji proces će nastaviti nadgledati saobraćaj koji dolazi kroz priključak koji hvata sve pakete koji dolaze na uređaj, a mlađi proces će tretirati prethodno analizirana dva polja kao kombinaciju IP porta za komandni server i pokušati će ga kontaktirati.
U završnoj fazi, zlonamjerni softver uspostavlja šifriranu obrnuti komunikaciju komandnog okruženja sa komandnim serverom i čeka dalje naredbe koje će izvršavati na kompromitovanom uređaju.
Zaključak
BPFdoor zadržava reputaciju izuzetno prikrivenog zlonamjernog softvera koje je veoma teško otkriti, pogotovo u najnovijoj verziji. Čak i ako se vrijeme komplikacije šifrovane biblioteke koje je oktobar 2022. godine, uzme kao početni datum ili februar 2023. kada se pojavio na VirusTotal servisu, kao trenutak kada je prvi put upotrebljen, veoma je nevjerovatno koliko je dugo ostao potpuno neprimjetan.
Sama činjenica da je dugo ostao neprimjetan, govori o njegovim naprednim mogućnostima i o tome da njegovi autori konstantno razvijaju zlonamjerni softver koji cilja Linux operativne sisteme zbog njihove rasprostranjenosti u poslovnim okruženju, kao i u oblaku.
