{"id":4820,"date":"2023-05-15T13:30:18","date_gmt":"2023-05-15T11:30:18","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4820"},"modified":"2023-05-15T13:30:18","modified_gmt":"2023-05-15T11:30:18","slug":"linux-bpfdoor-backdoor","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/05\/15\/linux-bpfdoor-backdoor\/","title":{"rendered":"Linux BPFDoor Backdoor"},"content":{"rendered":"

Sigurnosni istra\u017eiva\u010di kompanije Deep Instinct Threat Lab<\/em> su otkrili do sada nedokumentovanu i do sada ne otkrivenu<\/a> varijantu Linux <\/em>backdoor<\/em><\/a> zlonamjernog softvera pod nazivom BPFDoor<\/em>.<\/span><\/p>\n

\"Linux

Linux BPFDoor Backdoor; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

\u0160ta je BPFDoor<\/em>?<\/strong><\/span><\/h2>\n

BPFDoor<\/em> je Linux<\/em> orijentisani, slabo uo\u010dljiv, pasivni backdoor<\/em>, namijenjen da dobije i odr\u017ei upori\u0161te u ve\u0107 kompromitovanim mre\u017enim i sistemskim okru\u017eenjima. Njegova funkcija je da prvenstveno osigura stalni pristup napada\u010du kompromitovanom okru\u017eenju na du\u017ei vremenski period. Zlonamjerni softver<\/a> je dobio ime po zloupotrebi Berkley Packet Filter<\/em> alata \u2013 jedinstvenog na\u010dina primanja uputstava i izbjegavanja otkrivanje koji zaobilazi za\u0161titni zid u dolaznom saobra\u0107aju.<\/span><\/p>\n

Ovaj zlonamjerni softver se povezuje sa kineskim zlonamjernim akterima Red Menshen<\/em> (poznati jo\u0161 i kao Red Dev 18<\/em>). Njihova zona interesa su telekomunikacijski operateri \u0161irom Bliskog istoka i Azije, kao i mete u vladinom i obrazovnom sektoru. Kada je prvi put otkriven prije godinu dana, BPFDoor<\/em> je bio poznat po svom efektnom i elegantnom dizajnu uz veliki naglasak na sakrivanje, \u0161to je su\u0161tina u odr\u017eavanju dugotrajnog upori\u0161ta.<\/span><\/p>\n

 <\/p>\n

Nova varijanta<\/strong><\/span><\/h3>\n

Analiza nove varijante zlonamjernog softvera BPFDoor<\/em> je pokazala neke promjene koje se odnose na stati\u010dko \u0161ifrovanje<\/a> biblioteka, obrnutu komunikaciju komandnog okru\u017eenja, a sve komande sada \u0161alje komandni server (C2<\/em>).<\/span><\/p>\n

Primjena stati\u010dkog \u0161ifrovanja na biblioteci je omogu\u0107ila bolje sakrivanje i maskiranje, po\u0161to je uklonjena zavisnost od eksternih biblioteka, posebno onih koje se odnose na RC4<\/em> algoritam za \u0161ifrovanje<\/a>.<\/span><\/p>\n

Glavna prednost obrnute komunikacije komandnog okru\u017eenja od klasi\u010dnog je \u0161to zlonamjerni softver prvi uspostavlja vezu sa komandnim serverom i na taj na\u010din omogu\u0107ava komunikaciju sa serverima pod kontrolom napada\u010da \u010dak i ikada za\u0161titi zid \u0161titi mre\u017eno okru\u017eenje.<\/span><\/p>\n

I na kraju, uklanjanjem predefinisanih komandi, ote\u017eano je sigurnosnim rje\u0161enjima da otkriju zlonamjerni softver kori\u0161tenjem stati\u010dkih analiza kao \u0161to je analiza potpisa. U teoriji, autorima zlonamjernog softvera ovo daje vi\u0161e fleksibilnosti, jer mogu koristiti razli\u010dite skupove komandi.<\/span><\/p>\n

Sigurnosna kompanija Deep Instinct Threat Lab<\/em> u svom izvje\u0161taju navodi da najnovija verzija\u00a0 BPFDoor<\/em> zlonamjernog softvera nije ozna\u010dena kao zlonamjerna od strane niti jednog dostupnog antivirusnog alata na VirusTotal<\/em> servisu, iako se prvi put tu pojavila u februaru 2023. godine.<\/span><\/p>\n

 <\/p>\n

Funkcionisanje<\/strong><\/span><\/h4>\n

Nakon pokretanja, BPFDoor<\/em> je konfigurisan da ignori\u0161e razli\u010dite signale operativnog sistema kako bi sprije\u010dio svoje ga\u0161enje. Onda sebi dodjeljuje pomo\u0107nu memoriju i kreira poseban priklju\u010dak za nju\u0161kanje dolaznih paketa koji nadgleda dolazni saobra\u0107aj sa specifi\u010dnom Magic Byte<\/em> sekvencom koja povezuje BPF<\/em> filter na priklju\u010dak koji hvata sve pakete koji dolaze na ure\u0111aj.<\/span><\/p>\n

Kada BPFDoor<\/em> prona\u0111e paket koji sadr\u017ei magi\u010dne bajtove u filtriranom saobra\u0107aju, on \u0107e ga tretirati kao poruku od strane svog operatera. Izvr\u0161iti \u0107e analizu dva polja i onda \u0107e se rastaviti na dva dijela. Stariji proces \u0107e nastaviti nadgledati saobra\u0107aj koji dolazi kroz priklju\u010dak koji hvata sve pakete koji dolaze na ure\u0111aj, a mla\u0111i proces \u0107e tretirati prethodno analizirana dva polja kao kombinaciju IP<\/em> porta za komandni server i poku\u0161ati \u0107e ga kontaktirati.<\/span><\/p>\n

U zavr\u0161noj fazi, zlonamjerni softver uspostavlja \u0161ifriranu obrnuti komunikaciju komandnog okru\u017eenja sa komandnim serverom i \u010deka dalje naredbe koje \u0107e izvr\u0161avati na kompromitovanom ure\u0111aju.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h5>\n

BPFdoor<\/em> zadr\u017eava reputaciju izuzetno prikrivenog zlonamjernog softvera koje je veoma te\u0161ko otkriti, pogotovo u najnovijoj verziji. \u010cak i ako se vrijeme komplikacije \u0161ifrovane biblioteke koje je oktobar 2022. godine, uzme kao po\u010detni datum ili februar 2023. kada se pojavio na VirusTotal<\/em> servisu, kao trenutak kada je prvi put upotrebljen, veoma je nevjerovatno koliko je dugo ostao potpuno neprimjetan.<\/span><\/p>\n

Sama \u010dinjenica da je dugo ostao neprimjetan, govori o njegovim naprednim mogu\u0107nostima i o tome da njegovi autori konstantno razvijaju zlonamjerni softver koji cilja Linux<\/em> operativne sisteme zbog njihove rasprostranjenosti u poslovnim okru\u017eenju, kao i u oblaku.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Sigurnosni istra\u017eiva\u010di kompanije Deep Instinct Threat Lab su otkrili do sada nedokumentovanu i do sada ne otkrivenu varijantu Linux backdoor zlonamjernog softvera pod nazivom BPFDoor. \u0160ta je BPFDoor? BPFDoor je Linux orijentisani, slabo uo\u010dljiv,...<\/p>","protected":false},"author":1,"featured_media":4824,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[142,375,376,377,211,141,93],"class_list":["post-4820","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-backdoor","tag-berkley-packet-filter","tag-bpf","tag-bpfdoor","tag-encryption","tag-linux","tag-malware"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4820","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4820"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4820\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4824"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4820"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4820"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4820"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}