BPFdoor backdoor evolúciója
A Rapid7 elemzése a BPFdoor backdoor evolúcióját mutatja be. A BPFdoor egy Linux-alapú backdoor, amely a Berkeley Packet Filter mechanizmust használja, vagyis közvetlenül az operációs rendszer kernelében figyeli a hálózati forgalmat. Ez kulcsfontosságú különbség a hagyományos malware-ekhez képest, mivel nem nyit portokat és nem generál klasszikus C2 forgalmat. Ehelyett passzívan hallgatózik, és csak akkor aktiválódik, ha egy speciálisan kialakított, úgynevezett magic packet érkezik.
A Rapid7 kutatása szerint legalább 7 új variáns jelent meg, köztük az úgynevezett httpShell és icmpShell változatok. Ezek a variánsok már stateless kommunikációt használnak, például HTTP vagy ICMP csatornákon keresztül, ami azt jelenti, hogy nincs folyamatos kapcsolat a C2 szerverrel. Ez drasztikusan csökkenti a detektálhatóságot, mivel a forgalom normál hálózati viselkedésnek tűnik.
A trigger mechanizmust képesek legitim HTTPS forgalomba elrejteni, így a vezérlőcsomagok gyakorlatilag láthatatlanná válnak a hagyományos hálózati ellenőrzések számára. Emellett egyes variánsok ICMP-alapú kommunikációt is használnak, lehetővé téve, hogy fertőzött gépek egymás között relayeljék a parancsokat klasszikus C2 infrastruktúra nélkül.
A malware működésének másik fontos eleme az álcázás. A modern variánsok már nem fileless módon futnak, hanem diszken helyezkednek el, viszont legitim rendszerfolyamatnak álcázzák magukat, például daemon nevekkel. Ez válasz a fejlettebb EDR rendszerekre, amelyek a korábbi technikákat már képesek voltak felismerni.
