BPFDoor:Linux/Unix 背后门分析
关键要点
- BPFDoor 是一种 Linux/Unix 后门,允许攻击者远程访问被攻击的设备。
- 该恶意软件使用多种协议与指挥控制服务器(C2)通信,包括 TCP、UDP 和 ICMP。
- BPFDoor 被归因于中国威胁组织 Red Menshen(又名 DecisiveArchitect)。
- 自 2018 年以来,该组织发起了针对美国、南韩、香港、土耳其、印度、越南和缅甸等地的攻击。
- 受害者包括电信、政府、教育和物流等多个领域的机构。
- Qualys 提供的定制评估和补救措施可用于检测 BPFDoor。
BPFDoor 是一种恶意软件,旨在允许攻击者通过 Linux shell 远程连接并完全控制受损设备。它利用 Berkeley PacketFilters()及其他技术实现远程访问,其支持多协议的通信。
BPFDoor 的技术分析
执行
攻击者借助一种名为“JustForFun”的自定义植入程序。当该植入程序执行时,它会随机选择一个新的二进制名称覆盖进程命令行,以达到伪装效果(如图 1所示),以此避开安全解决方案。
通过 bash 进程与植入程序交互,使其在系统上建立交互式 shell。命令行指令示例显示使用了 Postfix 队列管理器(见图 2)。
qmgr -l -t fifo -u
伪装(重命名进程)
该恶意软件使用 prctl 函数与参数 PR_SET_NAME 来重命名自身,并选择一个随机的合法名称(见图
3)。这些名称已在二进制中硬编码,样本间存在差异。
时间戳伪造
植入程序在删除前设置一个虚假的时间戳。调用了名为 set_time 的函数,通过 utimes 函数改变二进制的访问和修改时间戳,始终设置为 2008 年
10 月 30 日 19:17:16(GMT)。
PID 文件
植入程序会在 /var/run/haldrund.pid 创建一个零字节的 PID 文件(见图 5)。该文件有两个条件:
- 如果植入程序正常终止,该文件将被删除。
- 如果发生硬关闭或崩溃,文件将不会被删除。
如果该文件存在,植入程序不会恢复运行,因为它描述了后门的运行状态。
利用 Qualys 自定义评估与补救进行 BPFDoor 检测
Qualys 自定义评估和补救可以创建并执行针对零日威胁的自定义检测逻辑。此云服务支持多种脚本语言,包括
Perl、Shell、Python、Lua、PowerShell 和 VBScript,无供应商特定语法或限制。
我们通过 Qualys 脚本服务创建了 Shell脚本作为检测逻辑,并在整个网络上执行。该脚本旨在查找整个进程堆栈中的数据包嗅探进程,并检查是否存在已经打开原始套接字的进程,使用的工具为 Linux 默认的
lsof。
使用 Qualys 多向 EDR 进行 BPFDoor 检测
Qualys 多向 EDR 搭载 YARA 扫描技术,对 BPFDoor 的 RAT 进行检测,威胁评分为 5/10(见图 8)。
