BPFDoor:Linux/Unix 背后门分析
关键要点
BPFDoor 是一种 Linux/Unix 后门,允许攻击者远程访问被攻击的设备。该恶意软件使用多种协议与指挥控制服务器C2通信,包括 TCP、UDP 和 ICMP。BPFDoor 被归因于中国威胁组织 Red Menshen又名 DecisiveArchitect。自 2018 年以来,该组织发起了针对美国、南韩、香港、土耳其、印度、越南和缅甸等地的攻击。受害者包括电信、政府、教育和物流等多个领域的机构。Qualys 提供的定制评估和补救措施可用于检测 BPFDoor。BPFDoor 是一种恶意软件,旨在允许攻击者通过 Linux shell 远程连接并完全控制受损设备。它利用 Berkeley Packet FiltersBPF及其他技术实现远程访问,其支持多协议的通信。
BPFDoor 的技术分析
执行
攻击者借助一种名为“JustForFun”的自定义植入程序。当该植入程序执行时,它会随机选择一个新的二进制名称覆盖进程命令行,以达到伪装效果如图 1 所示,以此避开安全解决方案。
通过 bash 进程与植入程序交互,使其在系统上建立交互式 shell。命令行指令示例显示使用了 Postfix 队列管理器见图 2。
qmgr l t fifo u
yt加速器下载安卓版伪装重命名进程
该恶意软件使用 prctl 函数与参数 PRSETNAME 来重命名自身,并选择一个随机的合法名称见图 3。这些名称已在二进制中硬编码,样本间存在差异。
时间戳伪造
植入程序在删除前设置一个虚假的时间戳。调用了名为 settime 的函数,通过 utimes 函数改变二进制的访问和修改时间戳,始终设置为 2008 年 10 月 30 日 191716GMT。
PID 文件
植入程序会在 /var/run/haldrundpid 创建一个零字节的 PID 文件见图 5。该文件有两个条件:
如果植入程序正常终止,该文件将被删除。如果发生硬关闭或崩溃,文件将不会被删除。如果该文件存在,植入程序不会恢复运行,因为它描述了后门的运行状态。
利用 Qualys 自定义评估与补救进行 BPFDoor 检测
Qualys 自定义评估和补救可以创建并执行针对零日威胁的自定义检测逻辑。此云服务支持多种脚本语言,包括 Perl、Shell、Python、Lua、PowerShell 和 VBScript,无供应商特定语法或限制。
我们通过 Qualys 脚本服务创建了 Shell 脚本作为检测逻辑,并在整个网络上执行。该脚本旨在查找整个进程堆栈中的数据包嗅探进程,并检查是否存在已经打开原始套接字的进程,使用的工具为 Linux 默认的 lsof。
使用 Qualys 多向 EDR 进行 BPFDoor 检测
Qualys 多向 EDR 搭载 YARA 扫描技术,对 BPFDoor 的 RAT 进行检测,威胁评分为 5/10见图 8。
