Una variante previamente no documentada y en su mayoría no detectada de una puerta trasera de Linux llamada BPFDoor ha sido detectada en la naturaleza, dijo la firma de ciberseguridad Deep Instinct en un informe técnico publicado esta semana.
» BPFDoor conserva su reputación como un malware extremadamente sigiloso y difícil de detectar con esta última iteración», dijeron los investigadores de seguridad Shaul Vilkomir-Preisman y Eliran Nissan.
BPFDoor (también conocido como JustForFun), documentado por primera vez por PwC y Elastic Security Labs en mayo de 2022, es una puerta trasera pasiva de Linux asociada con un actor de amenazas chino llamado Red Menshen (también conocido como DecisiveArchitect o Red Dev 18), que se sabe que selecciona a los proveedores de telecomunicaciones en todo el mundo. Oriente Medio y Asia desde al menos 2021.
El malware está diseñado específicamente para establecer un acceso remoto persistente a entornos de destino comprometidos durante largos períodos de tiempo, con evidencia que apunta a que el equipo de piratería operó la puerta trasera sin ser detectado durante años.
BPFDoor recibe su nombre del uso de Berkeley Packet Filters ( BPF ), una tecnología que permite analizar y filtrar el tráfico de red en sistemas Linux, para comunicaciones de red y procesar comandos entrantes.
Al hacerlo, los actores de amenazas pueden penetrar en el sistema de una víctima y ejecutar código arbitrario sin ser detectados por los firewalls, al mismo tiempo que filtran datos innecesarios.
Los hallazgos de Deep Instinct provienen de un artefacto BPFDoor que se cargó en VirusTotal el 8 de febrero de 2023. Al momento de escribir, solo tres proveedores de seguridad han marcado el binario ELF como malicioso.
Una de las características clave que hace que la nueva versión de BPFDoor sea aún más evasiva es la eliminación de muchos indicadores codificados y, en su lugar, incorpora una biblioteca estática para el cifrado (libtomcrypt) y un shell inverso para la comunicación de comando y control (C2).
En el momento del lanzamiento, BPFDoor está configurado para ignorar varias señales del sistema operativo para evitar que se cierre. Luego asigna un búfer de memoria y crea un socket especial de detección de paquetes que monitorea el tráfico entrante con una secuencia específica de Magic Byte conectando un filtro BPF al socket sin formato.
«Cuando BPFdoor encuentra un paquete que contiene sus Magic Bytes en el tráfico filtrado, lo tratará como un mensaje de su operador y analizará dos campos y se bifurcará nuevamente», explicaron los investigadores.
«El proceso principal continuará y monitoreará el tráfico filtrado que ingresa a través del socket, mientras que el proceso secundario tratará los campos analizados previamente como una combinación de puerto IP de comando y control e intentará contactarlo».
En la etapa final, BPFDoor configura una sesión de shell inversa cifrada con el servidor C2 y espera que se ejecuten más instrucciones en la máquina comprometida.
El hecho de que BPFDoor haya permanecido oculto durante mucho tiempo habla de su sofisticación, ya que los actores de amenazas desarrollan cada vez más malware dirigido a los sistemas Linux debido a su prevalencia en entornos empresariales y de nube.
El desarrollo se produce cuando Google anunció un nuevo marco de fuzzing de Berkeley Packet Filter ( eBPF ) extendido llamado Buzzer para ayudar a fortalecer el kernel de Linux y garantizar que los programas de espacio aislado que se ejecutan en un contexto privilegiado sean válidos y seguros.
El gigante tecnológico dijo además que el método de prueba condujo al descubrimiento de una falla de seguridad (CVE-2023-2163) que podría explotarse para lograr una lectura y escritura arbitraria de la memoria del kernel.
Fuente y redacción: thehackernews.com
