Gelişmiş olan BPFDoor Backdoor Yeni Varyantıyla Daha Tehlikeli…
Linux kötü amaçlı yazılımı ‘BPFDoor’un yeni bir çeşidi yakın zamanda ortaya çıktı ve gelişmiş gizlilik yetenekleri sergiledi. Bu güncellenmiş sürüm, daha güçlü şifreleme ve iyileştirilmiş ters kabuk iletişimi sergiliyor. Başlangıçta Çinli tehdit aktörü Red Menshen (AKA Red Dev 18) ile ilişkilendirilen BPFDoor Backdoor, güvenliği ihlal edilmiş ağlarda kalıcı bir varlık oluşturmak için özel olarak tasarlanmıştır. Saldırganların virüs bulaşmış sistemlere uzun bir süre boyunca yeniden erişmelerini sağlar. 2021’den bu yana Orta Doğu ve Asya’daki telekomünikasyon sağlayıcılarını, devlet kurumlarını, eğitim kurumlarını ve lojistik sektörlerini hedefliyor.
Ayrıntılar
- 2022’den önce BPFDoor Backdoor, iletişim için RC4 şifreleme, bağlama kabuğu ve iptables kullanıyordu. Komutlar ve dosya adları, kötü amaçlı yazılımın kodu içinde kodlanmıştır.
- Ancak, en son sürüm önemli değişiklikler getiriyor. Statik kitaplık şifrelemesi içerir, ters kabuk iletişimi kullanır ve komutları göndermek için C2 sunucusuna güvenir.
- Deep Instinct, BPFDoor’un en son sürümünün platformdaki mevcut herhangi bir antivirüs motoru tarafından kötü amaçlı olarak işaretlenmediğini bildiriyor.
İlginizi Çekebilecek Yazımız: WordPress Eklentisi XSS Açığı 2 Milyon Kişiyi Etkiledi
Saldırı Aşaması
- BPFdoor, virüslü bir sistemde etkinleştirildiğinde, bir çalışma zamanı dosyası (/var/run/initd.lock) oluşturup kilitler ve giriş ve çıkış sinyallerini devre dışı bırakarak alt süreçler oluşturur. Tampon belleği tahsis eder, bir paket koklama soketi kurar ve belirli bir bayt dizisi (\x44\x30\xCD\x9F\x5E\x14\x27\x66) için gelen trafiği izler.
- Bulunursa, arka kapı yuvaya bir Berkeley Paket Filtresi ekleyerek 22 (SSH), 80 (HTTP) ve 443 (HTTPS) bağlantı noktalarından veri toplar.
- Düşük düzeyde çalışan kötü amaçlı yazılım, uygulama düzeyindeki güvenlik duvarı kısıtlamalarını atlar.
Belirlenen mesajı aldıktan sonra, çocuk C2 ile bir bağlantı kurarak ve daha fazla talimat beklerken ebeveyn ve çocuk süreçlerine girer.
Bu Neden Önemli
- Kötü amaçlı yazılım geliştiricileri, şifrelemeyi doğrudan bir statik kitaplığa entegre ederek gelişmiş gizlilik ve şaşırtmaca elde eder. Bu yaklaşım, RC4 şifreleme algoritmasına sahip olanlar gibi harici kitaplıklara olan ihtiyacı ortadan kaldırır ve böylece tespitten daha etkili bir şekilde kaçınır.
- Ters kabuk iletişiminin kullanılması, bağlama kabuğuna göre kayda değer bir avantaj sunar. Ters kabuk ile, virüslü ana bilgisayar, tehdit aktörünün komuta ve kontrol sunucularına bir bağlantı kurar. Bu, güvenlik duvarları da dahil olmak üzere ağ koruması yürürlükteyken bile saldırganların sunucularıyla iletişim kurulmasını sağlar.
- Ayrıca, sabit kodlanmış komutların kaldırılması, imza tabanlı algılama gibi statik analiz kullanan virüsten koruma yazılımları tarafından algılanma olasılığını azaltır. Bu değişiklik teorik olarak kötü amaçlı yazılıma daha geniş bir komut yelpazesini desteklemek için artırılmış esneklik sağlar.
Sonuç Olarak
Kötü amaçlı yazılım geliştiricileri, şifrelemeyi doğrudan bir statik kitaplığa entegre ederek gelişmiş gizlilik ve şaşırtmaca elde eder. Bu yaklaşım, RC4 şifreleme algoritmasına sahip olanlar gibi harici kitaplıklara olan ihtiyacı ortadan kaldırır ve böylece tespitten daha etkili bir şekilde kaçınır.
Ters kabuk iletişiminin kullanılması, bağlama kabuğuna göre kayda değer bir avantaj sunar. Ters kabuk ile, virüslü ana bilgisayar, tehdit aktörünün komuta ve kontrol sunucularına bir bağlantı kurar. Bu, güvenlik duvarları da dahil olmak üzere ağ koruması yürürlükteyken bile saldırganların sunucularıyla iletişim kurulmasını sağlar.
Ayrıca, sabit kodlanmış komutların kaldırılması, imza tabanlı algılama gibi statik analiz kullanan virüsten koruma yazılımları tarafından algılanma olasılığını azaltır. Bu değişiklik teorik olarak kötü amaçlı yazılıma daha geniş bir komut yelpazesini desteklemek için artırılmış esneklik sağlar.
Haber Kaynağı: Cyware Social