Uma versão mais furtiva do malware Linux BPFDoor foi detectada
12 de Maio de 2023

Uma nova variante mais furtiva do malware Linux 'BPFDoor' foi descoberta, apresentando criptografia mais robusta e comunicações de shell reverso.

BPFDoor é um malware backdoor furtivo que está ativo desde pelo menos 2017, mas foi descoberto por pesquisadores de segurança há cerca de 12 meses.

O malware recebe seu nome do uso do 'Berkley Packet Filter' (BPF) para receber instruções enquanto contorna as restrições do firewall de tráfego de entrada.

BPFDoor é projetado para permitir que atores de ameaças mantenham longa persistência em sistemas Linux violados e permaneçam indetectáveis por longos períodos.

Até 2022, o malware usava criptografia RC4, shell de bind e iptables para comunicação, enquanto comandos e nomes de arquivos eram codificados.

A nova variante analisada pela Deep Instinct apresenta criptografia de biblioteca estática, comunicação de shell reverso e todos os comandos são enviados pelo servidor C2.

Ao incorporar a criptografia em uma biblioteca estática, os desenvolvedores de malware alcançam melhor furtividade e obfuscação, pois a dependência de bibliotecas externas, como uma com o algoritmo de cifra RC4, é removida.

A principal vantagem do shell reverso em relação ao shell de bind é que o primeiro estabelece uma conexão do host infectado aos servidores de comando e controle do ator de ameaças, permitindo comunicação com os servidores dos atacantes mesmo quando um firewall protege a rede.

Finalmente, a remoção de comandos codificados torna menos provável que o software antivírus detecte o malware usando análise estática, como detecção baseada em assinatura.

Teoricamente, isso também lhe dá mais flexibilidade, suportando um conjunto de comandos mais diverso.

A Deep Instinct relata que a versão mais recente do BPFDoor não é sinalizada como maliciosa por nenhum mecanismo de AV disponível na VirusTotal, apesar de sua primeira submissão na plataforma datar de fevereiro de 2023.

Ao ser executado pela primeira vez, o BPFDoor cria e bloqueia um arquivo em tempo de execução em "/var/run/initd.lock", bifurca-se para executar como um processo filho e, finalmente, define-se para ignorar vários sinais do sistema operacional que poderiam interrompê-lo.

Em seguida, o malware aloca um buffer de memória e cria um soquete de sniffing de pacotes que usará para monitorar o tráfego de entrada para uma sequência de bytes "mágica" ("\x44\x30\xCD\x9F\x5E\x14\x27\x66").

Nesta fase, o BPFDoor anexa um filtro de pacotes Berkley ao soquete para ler apenas o tráfego UDP, TCP e SCTP por meio das portas 22 (ssh), 80 (HTTP) e 443 (HTTPS).

Quaisquer restrições de firewall presentes na máquina violada não afetarão essa atividade de sniffing porque o BPFDoor opera em um nível tão baixo que elas não são aplicáveis.

"Quando o BPFDoor encontra um pacote contendo seus bytes 'mágicos' no tráfego filtrado, ele o tratará como uma mensagem de seu operador e analisará dois campos e bifurcará novamente", explica a Deep Instinct.

"O processo pai continuará monitorando o tráfego filtrado que passa pelo soquete enquanto o filho tratará os campos previamente analisados como uma combinação de IP-Porta de Comando e Controle e tentará entrar em contato com ele." Após estabelecer uma conexão com o C2, o malware configura um shell reverso e aguarda um comando do servidor.

O BPFDoor permanece indetectável pelo software de segurança, portanto, os administradores do sistema podem apenas confiar na monitoração rigorosa do tráfego de rede e logs, usando produtos de proteção de endpoint de última geração e monitorando a integridade de arquivos em "/var/run/initd.lock."

Além disso, um relatório de maio de 2022 da CrowdStrike destacou que o BPFDoor usou uma vulnerabilidade de 2019 para alcançar persistência em sistemas direcionados, portanto, aplicar as atualizações de segurança disponíveis é sempre uma estratégia crucial contra todos os tipos de malware.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...