BPFDoor マルウェアの検出: Linux デバイスをスパイするために使われる回避的監視ツール

[post-views]
5月 10, 2022 · 5 分で読めます
BPFDoor マルウェアの検出: Linux デバイスをスパイするために使われる回避的監視ツール

Linuxベースのシステム管理者にとって不運なニュースです – セキュリティ専門家が高度な監視用インプラントを明らかにしました。このインプラントはエンドポイント保護ベンダーの監視を逃れ、5年間にわたり何千ものLinux環境に密かに感染を広げていました。BPFDoorと呼ばれるこのマルウェアは、Berkeley Packet Filter(BPF)を悪用してバックドアとして機能し、偵察を行います。これにより、この最新に明らかにされたツールは2022年の二つ目のBPFベースの攻撃として記録され、最初のものはNSAのバックドアでした。

BPFDoorマルウェアを検出

以下のSigmaベースの検出は、我々の切れ者のThreat Bounty開発者によって提供されています カーン・イェニヨル、新たな脅威に注意を払っています:

中国系の脅威アクターがBPFDoorバックドアを使用してLinuxマシンを標的に

この検出は、以下のSIEM、EDR & XDRプラットフォーム向けの翻訳を含んでいます:Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、SentinelOne、Graylog、Regex Grep、RSA NetWitness、Chronicle Security、Microsoft Defender ATP、Securonix、Apache Kafka ksqlDB、Carbon Black、Open Distro、およびAWS OpenSearch。

このルールは、最新のMITRE ATT&CK® フレームワーク v.10 に準拠しており、主な技術としてコマンドとスクリプトのインタープリター (T1059) に対する実行戦術に対応しています。

サイバーセキュリティ専門家はThreat Bountyプログラムに参加し、23,000人以上の専門家の協力の知識を活用し、脅威ハンティングのスピードを上げ、その脅威検出コンテンツに対して報償を得ることを奨励しています。

検出を表示 Threat Bountyに参加

BFPDoorとは何か?

によると PwC脅威インテリジェンス の調査によれば、BFPDoorインプラントは、中国系APTグループであるRed Menshenによって現場で積極的に利用されてきました。特に、このグループは中東とアジアの通信企業、政府機関、教育機関、物流企業を標的にした一連の攻撃において、カスタムバックドアを利用しました。

敵対者は、データパケットの送信とアクセス規制、さらにはネットワークトラフィック解析に使用されることを意図した正当な技術であるBerkeley Packet Filter(BPF)を利用します。現在、BPFベースの攻撃は増加しており、益々多くの脅威アクターが攻撃目的でこのツールを使うことに興味を持つようになっています。

BFPDoorは、主に監視目的で使用されるLinuxベースの悪意あるインプラントです。攻撃メカニズムは、BPF技術の拡張バージョンを悪用することを前提としています。 敵対者は 被害者のシステムに侵入し、悪意のあるインプラントを仕込んだ後、新たな着信ネットワークポートやファイアウォールルールを開いたりすることなくリモートコードを実行することができます。ハッカーは、BPFDoorをVirtual Private Servers(VPS)経由で実行するために、台湾にあるルータが侵害されたVPNトンネルを利用します。

BPFDoorの犠牲者は、一度常駐するとステルス性の高いBPFDoor悪意あるインプラントを検出する可能性がほとんどありません。現在のデータによれば、何千ものシステムがすでにこのマルウェア株に侵害されていますが、影響を受けたユーザーは侵害とインプラントの持続性に気づいていません。

防御の強化を先延ばしにしてはいけません – の利点を利用して SOC PrimeのDetection as Codeプラットフォーム 、SOCチームができるだけ迅速に最新の検出コンテンツを実装できるようにします。既存および新たな脅威について把握し続けるために、更新をフォローしてください。 SOC Primeブログ、これはSOCの専門家にダイナミックなサイバーセキュリティ業界の情勢を知らせ続けます。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事