Varian baru yang lebih tersembunyi dari malware Linux ‘BPFDoor’ telah ditemukan, menampilkan enkripsi yang lebih kuat dan komunikasi shell terbalik.
BPFDoor adalah malware backdoor tersembunyi yang telah aktif setidaknya sejak 2017 tetapi hanya ditemukan oleh peneliti keamanan sekitar 12 bulan yang lalu.
Malware mendapatkan namanya dari penggunaan ‘Berkley Packet Filter’ (BPF) untuk menerima instruksi sambil melewati batasan firewall lalu lintas masuk.
BPFDoor dirancang untuk memungkinkan pelaku ancaman mempertahankan kegigihan yang lama pada sistem Linux yang dilanggar dan tetap tidak terdeteksi untuk waktu yang lama.
Versi BPFDoor baru
Hingga tahun 2022, malware menggunakan enkripsi RC4, bind shell, dan iptables untuk komunikasi, sedangkan perintah dan nama file di-hardcode.
Varian yang lebih baru dianalisis oleh Deep Instinct fitur enkripsi perpustakaan statis, komunikasi shell terbalik, dan semua perintah dikirim oleh server C2.
Dengan menggabungkan enkripsi dalam perpustakaan statis, pengembang malware mencapai penyamaran dan penyamaran yang lebih baik, karena ketergantungan pada perpustakaan eksternal seperti yang menampilkan algoritme cipher RC4 telah dihapus.
Keuntungan utama dari reverse shell terhadap bind shell adalah bahwa yang pertama membuat koneksi dari host yang terinfeksi ke server komando dan kontrol aktor ancaman, memungkinkan komunikasi ke server penyerang bahkan ketika firewall melindungi jaringan.
Akhirnya, menghapus perintah hardcode membuat perangkat lunak anti-virus cenderung mendeteksi malware menggunakan analisis statis seperti deteksi berbasis tanda tangan. Secara teoritis juga memberikan lebih banyak fleksibilitas, mendukung kumpulan perintah yang lebih beragam.
Deep Instinct melaporkan bahwa versi terbaru BPFDoor tidak ditandai sebagai berbahaya oleh mesin AV mana pun yang tersedia di VirusTotal, meskipun pengiriman pertamanya di platform tersebut bertanggal Februari 2023.
Logika operasi
Setelah eksekusi pertama, BPFDoor membuat dan mengunci file runtime di “/var/run/initd.lock,” dan kemudian mem-fork sendiri untuk dijalankan sebagai proses anak, dan akhirnya menyetel sendiri untuk mengabaikan berbagai sinyal OS yang dapat mengganggunya.
Selanjutnya, malware mengalokasikan buffer memori dan membuat soket pengendus paket yang akan digunakannya untuk memantau lalu lintas masuk untuk urutan byte “ajaib” (“\x44\x30\xCD\x9F\x5E\x14\x27\x66”) .
Pada tahap ini, BPFDoor memasang Berkley Packet Filter ke soket untuk hanya membaca lalu lintas UDP, TCP, dan SCTP melalui port 22 (ssh), 80 (HTTP), dan 443 (HTTPS).
Pembatasan firewall apa pun yang ada pada mesin yang dilanggar tidak akan memengaruhi aktivitas mengendus ini karena BPFDoor beroperasi pada tingkat yang sangat rendah sehingga tidak dapat diterapkan.
“Ketika BPFdoor menemukan paket yang berisi byte “ajaib” dalam lalu lintas yang difilter, itu akan memperlakukannya sebagai pesan dari operatornya dan akan mengurai dua bidang dan akan kembali membagi dirinya sendiri,” jelas Deep Instinct.
“Proses induk akan melanjutkan dan memantau lalu lintas yang difilter yang datang melalui soket sementara anak akan memperlakukan bidang yang diurai sebelumnya sebagai kombinasi IP-Port Perintah & Kontrol dan akan mencoba untuk menghubunginya.”
Setelah membuat koneksi dengan C2, malware membuat shell terbalik dan menunggu perintah dari server.
.png)
(Naluri Mendalam)
BPFDoor tetap tidak terdeteksi oleh perangkat lunak keamanan, sehingga admin sistem hanya dapat mengandalkan lalu lintas jaringan yang kuat dan pemantauan log, menggunakan produk perlindungan titik akhir yang canggih, dan memantau integritas file di “/var/run/initd.lock.”
Juga, laporan Mei 2022 oleh CrowdStrike menyoroti BPFDoor itu menggunakan kerentanan 2019 untuk mencapai kegigihan pada sistem yang ditargetkan, jadi menerapkan pembaruan keamanan yang tersedia selalu merupakan strategi penting melawan semua jenis malware.
