قالت شركة الأمن السيبراني Deep Instinct في تقرير تقني نُشر هذا الأسبوع إنه تم رصد متغير غير موثق سابقًا وغير مكتشف في الغالب من باب خلفي لنظام Linux يسمى BPFDoor في البرية. متغير خفي جديد
قال الباحثان الأمنيان شاؤول فيلكومير-بريزمان وإليران نيسان: “يحتفظ BPFDoor بسمعته باعتباره برنامجًا ضارًا شديد التخفي ويصعب اكتشافه مع هذا التكرار الأخير”.
BPFDoor (المعروف أيضًا باسم JustForFun). الذي تم توثيقه لأول مرة بواسطة PwC و Elastic Security Labs في مايو 2022. من ناحية أخرى. هو باب خلفي سلبي على نظام Linux مرتبط بممثل تهديد صيني يسمى Red Menshen (المعروف أيضًا باسم DecisiveArchitect أو Red Dev 18). والذي يُعرف بمزودي الاتصالات عبر الشرق الأوسط وآسيا منذ عام 2021 على الأقل.
تم تصميم البرامج الضارة بشكل خاص نحو إنشاء وصول مستمر عن بُعد إلى البيئات المستهدفة المخترقة لفترات طويلة من الوقت. مع وجود أدلة تشير إلى قيام طاقم القرصنة بتشغيل الباب الخلفي دون أن يتم اكتشافه لسنوات.
Berkeley Packet Filters (BPF):
حصلت BPFDoor على اسمها من استخدام Berkeley Packet Filters (BPF) – وهي تقنية تجعل من الممكن تحليل وتصفية حركة مرور الشبكة في أنظمة Linux – لاتصالات الشبكة ومعالجة الأوامر الواردة.
عند القيام بذلك. يمكن للجهات الفاعلة في التهديد اختراق نظام الضحية وتنفيذ تعليمات برمجية عشوائية دون أن يتم اكتشافها بواسطة جدران الحماية. مع تصفية البيانات غير الضرورية في الوقت نفسه.
تأتي نتائج Deep Instinct من أداة BPFDoor تم تحميلها إلى VirusTotal في 8 فبراير 2023. وحتى كتابة هذا التقرير. قام ثلاثة بائعي أمن فقط بوضع علامة على ملف ELF الثنائي باعتباره ضارًا.
إحدى الخصائص الرئيسية التي تجعل الإصدار الجديد من BPFDoor أكثر مراوغة هو إزالته للعديد من المؤشرات المشفرة وبدلاً من ذلك دمج مكتبة ثابتة للتشفير (libtomcrypt) وقذيفة عكسية لاتصالات الأوامر والتحكم (C2).
عند الإطلاق. تم تكوين BPFDoor لتجاهل إشارات نظام التشغيل المختلفة لمنع إنهاؤها. ثم يخصص مخزنًا مؤقتًا للذاكرة وينشئ مأخذًا خاصًا لاستنشاق الحزمة يراقب حركة المرور الواردة بتسلسل Magic Byte محدد عن طريق ربط مرشح BPF بالمقبس الخام.
ما الذي يقوله الباحثون:
كما. أوضح الباحثون: “عندما تعثر BPFdoor على حزمة تحتوي على Magic Bytes في حركة المرور التي تمت تصفيتها. فإنها ستتعامل معها كرسالة من مشغلها وستحلل حقلين وستفترق نفسها مرة أخرى”.
كما. ستستمر العملية الرئيسية وتراقب حركة المرور التي تمت تصفيتها عبر المقبس بينما سيتعامل الطفل مع الحقول التي تم تحليلها مسبقًا على أنها مجموعة منفذ IP للقيادة والتحكم وسيحاول الاتصال بها.”
من ناحية أخرى. يعمل BPFDoor جلسة shell عكسية مشفرة مع خادم C2 وينتظر المزيد من التعليمات ليتم تنفيذها على الجهاز المخترق.
حقيقة أن BPFDoor ظلت مخفية لفترة طويلة تتحدث عن تطورها. ما هو الحال مع الجهات الفاعلة في التهديد التي تطور بشكل متزايد برامج ضارة. تستهدف أنظمة Linux نظرًا لانتشارها في بيئات المؤسسات والسحابة.
يأتي هذا التطوير في الوقت الذي أعلنت فيه Google عن إطار عمل غامض جديد موسع لـ Berkeley Packet Filter (eBPF). كما يسمى Buzzer للمساعدة في تقوية نواة Linux والتأكد من أن برامج وضع الحماية التي تعمل في سياق متميز صالحة وآمنة. متغير خفي جديد
من ناحية أخرى. قال عملاق التكنولوجيا كذلك إن طريقة الاختبار أدت إلى اكتشاف ثغرة أمنية (CVE-2023-2163). يمكن استغلالها لتحقيق القراءة والكتابة التعسفية لذاكرة النواة.