Detecção de Malware BPFDoor: Ferramenta de Vigilância Evasiva Usada para Espionar Dispositivos Linux

Má notícia para mantenedores de sistemas baseados em Linux – especialistas em segurança revelaram um implante de vigilância sofisticado que passou despercebido pelos fornecedores de proteção de endpoint por cinco anos, infectando secretamente milhares de ambientes Linux. Apelidado de BPFDoor, o malware abusa do Berkeley Packet Filter (BPF) para atuar como uma porta dos fundos e prosseguir com o reconhecimento. Isso faz com que a ferramenta recentemente descoberta seja o segundo ataque baseado em BPF documentado em 2022, sendo o backdoor da NSA o inicial.

Detectar Malware BPFDoor

A detecção baseada em Sigma abaixo é fornecida pelo nosso atento desenvolvedor do Threat Bounty Kaan Yeniyol, mantendo um olhar atento sobre as ameaças emergentes:

Atores de Ameaça Chineses Usam Backdoor BPFDoor para Alvejar Máquinas Linux

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, e AWS OpenSearch.

As regras estão alinhadas com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Execução com o Interpretador de Comando e Scripts (T1059) como a técnica principal.

Especialistas em cibersegurança são incentivados a se juntar ao programa Threat Bounty para se beneficiar da expertise colaborativa de mais de 23.000 profissionais, aumentar a velocidade do caça-ameaças e ser recompensados por seu conteúdo de detecção de ameaças.

Ver Detecções Junte-se ao Threat Bounty

O Que É BFPDoor?

De acordo com as findings de Inteligência de Ameaças da PwC , o implante BFPDoor tem sido ativamente utilizado por um grupo APT afiliado à China conhecido como Red Menshen. Particularmente, o grupo usou o backdoor personalizado em uma série de ataques direcionados contra organizações de telecomunicações, entidades governamentais, instituições educacionais e empresas de logística no Oriente Médio e na Ásia.

Os adversários utilizam uma tecnologia legítima, o Berkeley Packet Filter (BPF), que deve ser usada para transmissões de pacotes de dados e regulação de acesso, bem como análise de tráfego de rede. Hoje, ataques baseados em BPF estão em ascensão, com um número crescente de atores de ameaça interessados em usar a ferramenta para seus propósitos ofensivos.

BFPDoor é um implante malicioso baseado em Linux usado principalmente para fins de vigilância. O mecanismo de ataque presume o abuso de versões estendidas da tecnologia BPF. Os adversários podem penetrar no sistema de uma vítima e executar código remoto sem a necessidade de abrir portas de rede de entrada ou novas regras de firewall ao implantar o implante malicioso. Hackers utilizam roteadores comprometidos localizados em Taiwan como túneis VPN para executar o BPFDoor via Servidores Privados Virtuais (VPSs).

As vítimas do BPFDoor têm pouca ou nenhuma chance de detectar um implante malicioso BPFDoor sorrateiro assim que ele se torna residente. De acordo com os dados atuais, milhares de sistemas já foram comprometidos com esta cepa de malware, ainda assim os usuários afetados permanecem inconscientes da violação e da persistência do implante no sistema.

Não adie o aprimoramento de sua defesa – aproveite os benefícios da plataforma Detection as Code da SOC Prime para garantir que sua equipe SOC implemente o conteúdo de detecção mais recente o mais rápido possível. Para se manter informado sobre as ameaças existentes e futuras, siga as atualizações de um blog da SOC Prime, que mantém os especialistas em SOC informados sobre o cenário dinâmico da indústria de cibersegurança.