恶意工具 BPFDoor 多年来一直逃避检测

安全研究人员最近提出了一个令人担忧的发现。与中国威胁行为者相关的恶意工具结果被部署在“数千个”运行 Linux 的系统上。该消息令人震惊的部分是,被称为 BPFDoor 的恶意软件设法在这些计算机上保留了大约 5 年时间并躲避检测。

今年早些时候,安全公司 Pangu Lab 的研究人员在 Linux 系统上分离了另一种使用 BPF 的后门恶意软件,称为 Bvp47。 BPF 代表“Berkeley Packet Filter”,一种最初与基于 Linux 的系统相关联并用于网络分析的技术。

新发现的 BPFDoor 恶意软件是在多方分析的文件样本被证明是属于 BPFDoor 恶意软件的控制器之后发现的。相同的恶意软件与一个名为 Red Menshen 的实体相关联,该实体是一种高级持续性威胁参与者,据信该组织在中国境外开展活动,并且也以 Red Dev 18 的句柄而闻名。

后门工具允许恶意行为者在受感染的系统上获得远程代码执行能力,而无需打开任何新的网络端口来转发命令,也无需更改任何防火墙规则。

由于多种因素,该恶意软件特别难以在其感染的 Linux 系统上检测到。它保持低调,从不更改防火墙规则并且从不对端口做任何可疑的事情是这些因素之一。此外,BPFDoor 不与出站命令和控制服务器通信。最后,如果使用“ps aux”命令检查受害系统,后门还可以重命名自己的进程并显示为友好的进程名称。

BPFDoor、Red Menshen 或 Red Dev 18 背后的实体与网络间谍活动有关,之前曾针对位于亚洲和中东的电信业实体。

May 13, 2022