Uma nova variante mais furtiva do malware Linux 'BPFDoor' foi descoberta, apresentando criptografia mais robusta e comunicações de shell reverso.
BPFDoor é um malware backdoor furtivo que está ativo desde pelo menos 2017, mas foi descoberto por pesquisadores de segurança há cerca de 12 meses.
O malware recebe seu nome do uso do 'Berkley Packet Filter' (BPF) para receber instruções enquanto contorna as restrições do firewall de tráfego de entrada.
BPFDoor é projetado para permitir que atores de ameaças mantenham longa persistência em sistemas Linux violados e permaneçam indetectáveis por longos períodos.
Até 2022, o malware usava criptografia RC4, shell de bind e iptables para comunicação, enquanto comandos e nomes de arquivos eram codificados.
A nova variante analisada pela Deep Instinct apresenta criptografia de biblioteca estática, comunicação de shell reverso e todos os comandos são enviados pelo servidor C2.
Ao incorporar a criptografia em uma biblioteca estática, os desenvolvedores de malware alcançam melhor furtividade e obfuscação, pois a dependência de bibliotecas externas, como uma com o algoritmo de cifra RC4, é removida.
A principal vantagem do shell reverso em relação ao shell de bind é que o primeiro estabelece uma conexão do host infectado aos servidores de comando e controle do ator de ameaças, permitindo comunicação com os servidores dos atacantes mesmo quando um firewall protege a rede.
Finalmente, a remoção de comandos codificados torna menos provável que o software antivírus detecte o malware usando análise estática, como detecção baseada em assinatura.
Teoricamente, isso também lhe dá mais flexibilidade, suportando um conjunto de comandos mais diverso.
A Deep Instinct relata que a versão mais recente do BPFDoor não é sinalizada como maliciosa por nenhum mecanismo de AV disponível na VirusTotal, apesar de sua primeira submissão na plataforma datar de fevereiro de 2023.
Ao ser executado pela primeira vez, o BPFDoor cria e bloqueia um arquivo em tempo de execução em "/var/run/initd.lock", bifurca-se para executar como um processo filho e, finalmente, define-se para ignorar vários sinais do sistema operacional que poderiam interrompê-lo.
Em seguida, o malware aloca um buffer de memória e cria um soquete de sniffing de pacotes que usará para monitorar o tráfego de entrada para uma sequência de bytes "mágica" ("\x44\x30\xCD\x9F\x5E\x14\x27\x66").
Nesta fase, o BPFDoor anexa um filtro de pacotes Berkley ao soquete para ler apenas o tráfego UDP, TCP e SCTP por meio das portas 22 (ssh), 80 (HTTP) e 443 (HTTPS).
Quaisquer restrições de firewall presentes na máquina violada não afetarão essa atividade de sniffing porque o BPFDoor opera em um nível tão baixo que elas não são aplicáveis.
"Quando o BPFDoor encontra um pacote contendo seus bytes 'mágicos' no tráfego filtrado, ele o tratará como uma mensagem de seu operador e analisará dois campos e bifurcará novamente", explica a Deep Instinct.
"O processo pai continuará monitorando o tráfego filtrado que passa pelo soquete enquanto o filho tratará os campos previamente analisados como uma combinação de IP-Porta de Comando e Controle e tentará entrar em contato com ele." Após estabelecer uma conexão com o C2, o malware configura um shell reverso e aguarda um comando do servidor.
O BPFDoor permanece indetectável pelo software de segurança, portanto, os administradores do sistema podem apenas confiar na monitoração rigorosa do tráfego de rede e logs, usando produtos de proteção de endpoint de última geração e monitorando a integridade de arquivos em "/var/run/initd.lock."
Além disso, um relatório de maio de 2022 da CrowdStrike destacou que o BPFDoor usou uma vulnerabilidade de 2019 para alcançar persistência em sistemas direcionados, portanto, aplicar as atualizações de segurança disponíveis é sempre uma estratégia crucial contra todos os tipos de malware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...