Обнаружен новый вариант Linux-бэкдора BPFDoor

Специалисты обнаружили и проанализировали новую версию малвари BPFDoor, которая атакует устройства на базе Linux. Основные отличия – более надежно шифрование и обновленный механизм взаимодействия с реверс-шеллами.

BPFDoor (другое название JustForFun) – классический бэкдор, обнаруженный в начале 2022 года. Аббревиатура BPF, используемая в названии указывает на технологию Berkley Packet Filter, которая используется для обхода брандмауэра при связи с управляющим сервером. До 2022 года вредоносная утилита использовала для связи iptables и bind шеллы, шифрование RC4, а доступные инструкции и имена файлов были жестко прописаны в коде.

Устранение зависимости от необходимости подключения внешних библиотек позволило заметно повысить качество обфускации, а также сделать утилиту более скрытной. Исключение жестко прописанных команд также снизило вероятность обнаружения BPFDoor при помощи сигнатур.



Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: