1. Avisos de seguridad
  2. Detectado una versión más sigilosa del malware BPFDoor de Linux
Fecha de publicación: Jue, 18/05/2023 - 17:40

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

BPFDoor es un malware de puerta trasera sigiloso que ha estado activo desde al menos 2017, pero los investigadores de seguridad solo lo descubrieron hace unos 12 meses. Recibe su nombre por el uso del "Berkley Packet Filter" BPF para recibir instrucciones mientras se eluden las restricciones del cortafuegos del tráfico entrante.

Diseñado para permitir que los actores de amenazas mantengan una persistencia prolongada en sistemas Linux vulnerados y permanezcan sin ser detectados durante períodos prolongados, permite crear puertas traseras en un sistema de ejecución remota de código, sin abrir nuevos puertos de red o reglas de firewall. Por ejemplo, si existe una aplicación web en el puerto 443, puede escuchar y reaccionar en el puerto 443 existente, y se puede acceder al backdoor a través del puerto de la aplicación web (incluso con la aplicación web en ejecución). Esto se debe a que utiliza un filtro de paquetes BPF.

DPFDoor no abre ningún puerto de red entrante, no usa un C2 saliente y cambia el nombre de su propio proceso en Linux.

Recursos afectados

Sistemas Linux y Solaris.

Recomendaciones

Se recomienda verificar los siguientes indicadores de compromiso:

Posible binario dejado si el implante no se carga:

/dev/shm/kdmtmpflush

Dropper si el implante esta activo o no se limpio correctamente:

/var/run/haldrund.pid

Cualquier proceso que se ejecute desde:

/dev/shm/

Cualquier proceso que opere con un socket de paquete abierto que no reconozca que necesita ese tipo de acceso.

Rastreo de la pila de procesos que muestra las llamadas a funciones del kernel relacionadas con la captura de paquetes:

grep packet_recvmsg /proc/*/stack
grep wait_for_more_packets /proc/*/stack
  • Reglas de redirección inusuales en iptables.
  • Cualquier proceso vinculado al puerto TCP 42391-433391 como servicio de escucha.
  • Scripts de arranque del sistema  que hacen referencia a binarios inusuales o ubicaciones de rutas extrañas.
  • Tráfico saliente UDP que contiene solo los datos "1", quizás de muchos hosts a una sola IP para verificaciones de estado.

Referencias

Una versión más sigilosa del malware BPFDoor de Linux detectada en la naturaleza