BPFDoor Malware-Erkennung: Unauffälliges Überwachungstool zur Spionage von Linux-Geräten

[post-views]
Mai 10, 2022 · 3 min zu lesen
BPFDoor Malware-Erkennung: Unauffälliges Überwachungstool zur Spionage von Linux-Geräten

Pech für Linux-Systemverwalter – Sicherheitsexperten haben ein ausgeklügeltes Überwachungsimplantat aufgedeckt, das fünf Jahre lang unter dem Radar von Endpoint-Schutzanbietern flog und heimlich Tausende von Linux-Umgebungen infizierte. BPFDoor genannt, missbraucht die Malware den Berkeley Packet Filter (BPF), um als Hintertür zu fungieren und Aufklärung durchzuführen. Dies macht das kürzlich aufgedeckte Tool zu einem zweiten BPF-basierten Angriff, der 2022 dokumentiert wurde, wobei die NSA-Hintertür der erste war.

BPFDoor-Malware erkennen

Die folgende Sigma-basierte Erkennung wird von unserem wachsamen Threat Bounty-Entwickler bereitgestellt Kaan Yeniyol, der neue Bedrohungen aufmerksam beobachtet:

Chinesische Bedrohungsakteure nutzen BPFDoor-Hintertür, um Linux-Maschinen ins Visier zu nehmen

Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.

Die Regeln sind mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt und adressieren die Ausführungstaktik mit dem Befehl- und Skript-Interpreter (T1059) als primäre Technik.

Cybersecurity-Experten werden ermutigt, dem Threat Bounty-Programm beizutreten, um von der kollaborativen Expertise von über 23.000 Fachleuten zu profitieren, die Bedrohungsjagd zu beschleunigen und für ihre Bedrohungserkennungsinhalte belohnt zu werden.

Erkennungen anzeigen Threat Bounty beitreten

Was ist BFPDoor?

Laut dem PwC Threat Intelligence Erkenntnissen wurde das BFPDoor-Implantat aktiv von einer mit China verbundenen APT-Gruppe namens Red Menshen in der Wildnis genutzt. Insbesondere setzte die Gruppe die benutzerdefinierte Hintertür in einer Reihe gezielter Angriffe gegen Telekommunikationsunternehmen, Regierungsstellen, Bildungseinrichtungen und Logistikunternehmen im Nahen Osten und Asien ein.

Gegner nutzen eine legitime Technologie, den Berkeley Packet Filter (BPF), der für die Übertragung von Datenpaketen und die Zugangsregulierung sowie für die Analyse des Netzwerkverkehrs entwickelt wurde. Heute nehmen BPF-basierte Angriffe zu, da immer mehr Bedrohungsakteure daran interessiert sind, das Tool für ihre offensiven Zwecke zu nutzen.

BFPDoor ist ein Linux-basiertes Schadimplantat, das hauptsächlich für Überwachungszwecke verwendet wird. Der Angriffsmechanismus geht von einem Missbrauch erweiterter Versionen der BPF-Technologie aus. Gegner können in das System eines Opfers eindringen und Remote-Code ausführen, ohne neue eingehende Netzwerkports oder Firewall-Regeln öffnen zu müssen, nachdem das bösartige Implantat platziert wurde. Hacker nutzen kompromittierte, in Taiwan befindliche Router als VPN-Tunnel, um BPFDoor über virtuelle private Server (VPSs) auszuführen.

BPFDoor-Opfer haben kaum eine Chance, ein heimliches BPFDoor-Schadimplantat zu erkennen, sobald es sich eingenistet hat. Laut den aktuellen Daten wurden bereits Tausende Systeme mit diesem Malware-Strain kompromittiert, doch die betroffenen Nutzer sind sich des Verstoßes und der Hartnäckigkeit des Implantats im System nicht bewusst.

Schieben Sie die Verbesserung Ihrer Verteidigung nicht auf – nutzen Sie die Vorteile von SOC Primes Detection as Code-Plattform , um sicherzustellen, dass Ihr SOC-Team die neuesten Erkennungsinhalte so schnell wie möglich implementiert. Um über bestehende und kommende Bedrohungen informiert zu bleiben, folgen Sie den Updates eines SOC Prime Blogs, der SOC-Experten über die dynamische Cybersicherheits-Landschaft informiert.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Verwandte Beiträge