Stealthier version of Linux BPFDoor malware spotted in the wild
พบมัลแวร์ Linux BPFDoor เวอร์ชันใหม่ที่สามารถหลบเลี่ยงการตรวจจับและซ่อนเร้นได้ดีกว่าเดิม ซึ่งมีการเข้ารหัสที่มีประสิทธิภาพมากขึ้นและสามารถทำ reverse shell ได้ BPFDoor เป็นมัลแวร์ที่แฝงตัวเข้ามาตั้งแต่ปี 2017 แต่ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยเมื่อประมาณ 12 เดือนที่ผ่านมาเท่านั้น โดยมัลแวร์ได้ชื่อมาจากการใช้ Berkley Packet Filter (BPF) สำหรับรับคำสั่งในขณะที่ข้ามข้อจำกัดของไฟร์วอลล์การรับส่งข้อมูล มัลแวร์ BPFDoor ได้รับการออกแบบมาเพื่อให้ผู้โจมตีสามารถคงอยู่ได้นานบนระบบ Linux ที่ถูกละเมิดและไม่ถูกตรวจพบเป็นระยะเวลานาน โดยในเวอร์ชันใหม่ของมัลแวร์ BPFDoor นั้นได้ช้การเข้ารหัส RC4, bind shellและ iptables ในขณะที่คำสั่งที่ใช้และชื่อไฟล์เป็นแบบฮาร์ดโค้ด Deep Instinct ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ ได้วิเคราะห์ว่ามีการเข้ารหัสแบบ static library และ reverse shell ซึ่งคำสั่งทั้งหมดจะถูกส่งโดยเซิร์ฟเวอร์ C2
ด้วยการรวมการเข้ารหัสภายแบบ static library ผู้พัฒนามัลแวร์จะประสบความสำเร็จในการซ่อนตัวและสร้างความสับสนได้ดีขึ้น เนื่องจากการพึ่งพาไลบรารีภายนอก เช่น ไลบรารี่ที่มีอัลกอริธึมการเข้ารหัส RC4 จะถูกลบออกไป ข้อได้เปรียบหลักของ Reverse Shell เมื่อเทียบกับ Bind Shell คืออย่างแรกคือสร้างการเชื่อมต่อจากโฮสต์ที่ติดไวรัสไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี ทำให้สามารถสื่อสารกับเซิร์ฟเวอร์ของผู้โจมตีได้แม้ว่าไฟร์วอลล์จะปกป้องเครือข่ายก็ตาม และอย่างที่สองคือคือการลบคำสั่งฮาร์ดโค้ดทำให้ซอฟต์แวร์ป้องกันไวรัสมีโอกาสน้อยลงในการตรวจจับมัลแวร์โดยใช้ static analysis เช่น การตรวจจับ signature นอกจากนี้ Deep Instinct ยังรายงานว่ามัลแวร์ BPFDoor เวอร์ชันล่าสุดไม่ได้ติดตามว่าเป็นอันตรายจากเครื่องมือ AV ใดๆ ที่มีอยู่ใน VirusTotal แม้ว่าจะมีการส่งครั้งแรกบนแพลตฟอร์มเมื่อเดือนกุมภาพันธ์ 2023 ในการทำงานของมัลแวร์ BPFDoor นั้น เมื่อดำเนินการครั้งแรก BPFDoor จะสร้างและล็อกไฟล์รันไทม์ที่ /var/run/initd.lock จากนั้นจะแยกตัวเองให้ทำงานเป็นกระบวนการย่อย และสุดท้ายจะตั้งค่าให้ละเว้นสัญญาณ OS ต่างๆ ที่อาจขัดจังหวะได้
จากนั้นมัลแวร์จะจัดสรร memory buffer และ creates packet sniffing ที่จะใช้สำหรับตรวจสอบการรับส่งข้อมูลขาเข้าสำหรับลำดับไบต์ magic (x44x30xCDx9Fx5Ex14x27x66) . ในขั้นตอนนี้ BPFDoor จะแนบ Berkley Packet Filter เข้ากับ socket เพื่ออ่านเฉพาะการรับส่งข้อมูล UDP, TCP และ SCTP ผ่านพอร์ต 22 (ssh), 80 (HTTP) และ 443 (HTTPS) ทำให้ข้อจำกัดไฟร์วอลล์ที่มีอยู่ในเครื่องที่ถูกโจมตีจะไม่ส่งผลกระทบต่อการทำ sniffing นี้เนื่องจาก BPFDoor ทำงานในระดับต่ำซึ่งไม่สามารถใช้งานได้ และเมื่อมัลแวร์ BPFdoor พบแพ็กเก็ตที่มีไบต์ magic ใน traffic ที่กรองแล้ว มันจะถือว่ามันเป็นข้อความจาก operator และจะแยกฟิลด์ออกเป็นสองฟิลด์ และจะแยกตัวเองอีกครั้ง โดยฟิลด์ที่แยกวิเคราะห์ก่อนหน้านี้เป็นการทำเชื่อมต่อแบบ C2 เพื่อควบคุม IP-Port และจะพยายามติดต่อมัน หลังจากสร้างการเชื่อมต่อกับ C2 แล้ว มัลแวร์จะตั้งค่า reverse shell และรอคำสั่งจากเซิร์ฟเวอร์ ปัจจุบันมัลแวร์ BPFDoor ยังคงตรวจไม่พบโดยซอฟต์แวร์ความปลอดภัย ดังนั้นผู้ดูแลระบบอาจจะต้อง monitor traffic ของเครือข่ายอย่างเข้มงวดและตรวจสอบ logs โดยใช้ผลิตภัณฑ์ endpoint protection ที่ทันสมัย และตรวจสอบความถูกต้องของไฟล์บน /var/run/initd.lock อย่างสม่ำเสมอ
https://www.bleepingcomputer.com/news/security/stealthier-version-of-linux-bpfdoor-malware-spotted-in-the-wild/