惡意工具 BPFDoor 多年來一直逃避檢測

安全研究人員最近提出了一個令人擔憂的發現。與中國威脅行為者相關的惡意工具結果被部署在“數千個”運行 Linux 的系統上。該消息令人震驚的部分是,被稱為 BPFDoor 的惡意軟件設法在這些計算機上保留了大約 5 年時間並躲避檢測。

今年早些時候,安全公司 Pangu Lab 的研究人員在 Linux 系統上分離了另一種使用 BPF 的後門惡意軟件,稱為 Bvp47。 BPF 代表“Berkeley Packet Filter”,一種最初與基於 Linux 的系統相關聯並用於網絡分析的技術。

新發現的 BPFDoor 惡意軟件是在多方分析的文件樣本被證明是屬於 BPFDoor 惡意軟件的控制器之後發現的。相同的惡意軟件與一個名為 Red Menshen 的實體相關聯,該實體是一種高級持續性威脅參與者,據信該組織在中國境外開展活動,並且也以 Red Dev 18 的句柄而聞名。

後門工具允許惡意行為者在受感染的系統上獲得遠程代碼執行能力,而無需打開任何新的網絡端口來轉發命令,也無需更改任何防火牆規則。

由於多種因素,該惡意軟件特別難以在其感染的 Linux 系統上檢測到。它保持低調,從不更改防火牆規則並且從不對端口做任何可疑的事情是這些因素之一。此外,BPFDoor 不與出站命令和控制服務器通信。最後,如果使用“ps aux”命令檢查受害系統,後門還可以重命名自己的進程並顯示為友好的進程名稱。

BPFDoor、Red Menshen 或 Red Dev 18 背後的實體與網絡間諜活動有關,之前曾針對位於亞洲和中東的電信業實體。

May 13, 2022