بدافزار BPFDOOR به عنوان یک تهدید مهم، سازمانهای مختلفی در سراسر جهان به ویژه در بخش مخابرات را هدف قرار داده است.
BPFDoor که اولین بار توسط PwC در سال ۲۰۲۱ شناسایی شد، یک backdoor بسیار پیچیده است که برای نفوذ به سیستمهای لینوکس با تأکید بر ماندگاری و فرار طولانی مدت طراحی شده است.
در ۲۵ آوریل ۲۰۲۵، آژانس اینترنت و امنیت کره (KISA) پس از تأیید توزیع آن در سیستمهای حیاتی، یک توصیهی امنیتی صادر کرد و بر افزایش تعداد این حملات تأکید کرد.
طبق گزارش مرکز تحقیقات و اطلاعات تهدید (TALON) S2W، که اخیراً این بدافزار را تجزیه و تحلیل کرده است، BPFDoor از فناوری Berkeley Packet Filter (BPF) – ابزاری شبکهای در سطح kernel که در ابتدا برای فیلتر کردن کارآمد بستهها در نظر گرفته شده بود – برای دستیابی به پنهان سازی خود سوءاستفاده میکند.
با استفاده از ۲۲۹ مجموعه دستورالعمل BPF، این بدافزار بستههای خاص را فیلتر میکند و به آن این امکان را میدهد که بدون باز کردن پورتهای شبکه سنتی، دستورات را دریافت کرده و در نتیجه ترافیک مخرب را به طور یکپارچه با دادههای قانونی ترکیب کند.
قابلیت ها و رفتار پیشرفته
پیچیدگی فنی BPFDoor در توانایی آن در پشتیبانی از پروتکلهای ارتباطی غیراستاندارد مانند TCP، UDP و ICMP نهفته است که با استفاده از توالیهای magic مانند 0x5293، 0x39393939 و 0x7255 فعالیتهای خود را در ترافیک عادی پنهان میکند.
تکنیکهای پیشرفتهی ضد فرانزیک آن – از جمله تغییر نام فرآیند، daemonization و اجرای مبتنی بر حافظه – شناسایی این بدافزار را کاملا چالشبرانگیز میکند.
این بدافزار همچنین از قابلیتهای shell معکوس و کانالهای ارتباطی رمزگذاریشده استفاده میکند و گاهی اوقات از مجموعههای منسوخشدهی RC4-MD5 یا گواهیهای SSL خودامضا شده برای پنهان کردن تعاملات C2 خود استفاده میکند.
تجزیه و تحلیل S2W نشان میدهد که مهاجمان BPFDoor را برای حرکت جانبی در شبکههای آسیبدیده مستقر میکنند و دسترسی طولانیمدت به سیستمهای هدف را تضمین میکنند.
این ماندگاری بیشتر توسط ویژگیهایی مانند ایجاد فایل mutex برای جلوگیری از اجرای تکراری و بررسیهای امتیاز برای اطمینان از دسترسی در سطح ریشه، پشتیبانی میشود که نشاندهندهی طراحی دقیق برای نفوذ پایدار است.
استراتژیهای کاهش در میان تهدیدات فزاینده
پیامدهای قابلیتهای BPFDoor عمیق است، همانطور که انتشار عمومی کد منبع آن در GitHub در سال 2022 نشان میدهد، که به طور بالقوه امکان انواع مختلف و بهرهبرداری گستردهتر را فراهم میکند.
شرکت های امنیتی استراتژیهای کاهش قوی را برای مقابله با این تهدید توصیه میکنند، که بر تشخیص قبل از آلودگی از طریق فلیتر کوئری های BPF، جستجوهای توالی magic و نظارت بر رشتههای hardcoded مورد استفاده در هش کردن رمز عبور تأکید دارد.
چنانچه در سازمانی از سرورهای لینوکس استفاده می شود لازم است با دقت اتصالات سوکت رصد شده، دستکاری فایلهای اجرایی بررسی و صحت نام فرآیند را تأیید شود.
با توجه به اینکه این بدافزار همچنان در حال تکامل است و تفاوتهایی در گزینههای کنترلکننده و مقادیر کدگذاریشدهی مشاهدهشده در نسخههای مختلف آن مشاهده میشود، تیم های امنیت سایبری باید تشخیص مبتنی بر رفتار را بر شاخصهای استاتیک اولویتبندی کند.
دفاع در برابر BPFDoor و بدافزارهای مشابه بر نیاز مبرم به نظارت پیشرفته و شکار تهدید پیشگیرانه برای محافظت از زیرساختهای حیاتی در برابر چنین تهدیدات مداوم تاکید می کند.
منبع :
