• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for BPFdoor

BPFdoor

BPFdoor: Malware Linux siluman melewati firewall untuk akses jarak jauh

May 13, 2022 by Eevee

Malware backdoor yang baru-baru ini ditemukan bernama BPFdoor telah diam-diam menargetkan sistem Linux dan Solaris tanpa diketahui selama lebih dari lima tahun.

BPFdoor adalah backdoor Linux/Unix yang memungkinkan pelaku ancaman untuk terhubung dari jarak jauh ke shell Linux untuk mendapatkan akses penuh ke perangkat yang disusupi.

Malware tidak perlu membuka port, tidak dapat dihentikan oleh firewall, dan dapat merespons perintah dari alamat IP mana pun di web, menjadikannya alat yang ideal untuk spionase perusahaan dan serangan terus-menerus.

BPFdoor adalah backdoor pasif, artinya dapat mendengarkan pada satu atau lebih port untuk paket masuk dari satu atau lebih host, yang dapat digunakan penyerang untuk mengirim perintah dari jarak jauh ke jaringan yang disusupi.

Malware menggunakan Berkeley Packet Filter (BPF dalam nama pintu belakang), yang bekerja pada antarmuka lapisan jaringan yang dapat melihat semua lalu lintas jaringan dan mengirim paket pengiriman ke tujuan mana pun.

Karena posisinya pada tingkat yang rendah, BPF tidak mematuhi aturan firewall apa pun.

Ini memiliki versi untuk sistem Linux dan Solaris SPARC tetapi dapat juga di-porting ke BSD, BleepingComputer belajar dari Craig Rowland, pendiri Sandfly Security, sebuah perusahaan yang menawarkan solusi tanpa agen untuk melindungi sistem Linux.

BPFdoor hanya mem-parsing paket ICMP, UDP, dan TCP, memeriksanya untuk nilai data tertentu, dan juga kata sandi untuk dua jenis paket terakhir.

Apa yang membuat BPFDoor menonjol adalah ia dapat memantau port mana pun untuk paket ajaib, bahkan jika port tersebut digunakan oleh layanan sah lainnya, seperti server web, FTP, atau SSH.

Jika paket TCP dan UDP memiliki data “ajaib” yang tepat dan kata sandi yang benar, pintu belakang akan beraksi dengan menjalankan perintah yang didukung, seperti menyiapkan pengikatan atau shell terbalik.

sumber: Sandfly Security

Beaumont memberi tahu kami bahwa paket ICMP tidak memerlukan kata sandi, yang memungkinkannya memindai internet untuk menjalankan implan pintu BPF menggunakan fungsi ping.

Peneliti dapat menemukan aktivitas BPFdoor di jaringan organisasi di berbagai geografi, terutama AS, Korea Selatan, Hong Kong, Turki, India, Vietnam, dan Myanmar.

Anehnya, ia menemukan 11 server Speedtest yang terinfeksi BPFdoor. Peneliti mengatakan bahwa tidak jelas bagaimana mesin ini disusupi, terutama karena mereka berjalan pada perangkat lunak sumber tertutup.

Rowland mencatat dalam laporan teknis komprehensif di BPFdoor bahwa malware menggunakan beberapa taktik anti-penghindaran yang cerdas: Selengkapnya

Peneliti mengatakan bahwa tujuan dari tanggal palsu bisa untuk menyembunyikan malware dari pencarian mencari file baru di sistem.

Mengubah aturan firewall sangat penting karena memungkinkan penyerang untuk berkomunikasi dengan pintu belakang melalui lalu lintas yang tidak dapat ditandai oleh firewall sebagai mencurigakan.

Rowland menjelaskan bahwa ketika host yang terinfeksi menerima paket BPFdoor khusus, malware “akan menelurkan instance baru dan mengubah aturan iptables lokal untuk melakukan pengalihan dari host yang meminta ke port shell.”

Untuk lebih memperjelas, Rowland mengatakan bahwa untuk shell lokal, malware memodifikasi konfigurasi ‘iptables’ untuk mengarahkan semua lalu lintas yang datang dari penyerang melalui port yang sah ke kisaran port yang ditentukan dalam malware.

Dengan cara ini, penyerang dapat memilih koneksi melalui port mana pun karena akan dialihkan ke shell di belakang firewall.

Sumber: Craig Rowland, Sandfly Security

Analisis teknis lain pada BPFdoor dari Tristan Pourcelot dari perusahaan intelijen ancaman dan respons insiden ExaTrack, mencatat bahwa malware tersebut hadir dengan beberapa nama hardcode yang cocok dengan string perintah di dalam paket yang relevan:

justtryit, justrobot, dan justforfun untuk membuat shell pengikatan pada port 42391 hingga 42491
socket atau sockettcp untuk mengatur shell terbalik ke alamat IP yang ada dalam paket

Pourcelot mengatakan bahwa aktor ancaman memperbarui BPFdoor secara teratur, meningkatkan setiap rilis dengan nama yang berbeda untuk perintah, proses, atau file.

Misalnya, varian implan yang lebih baru beralih dari menggunakan kata kunci perintah ke hash MD5, kemungkinan dalam upaya untuk menghindari deteksi sepele.

Setidaknya ada 21 versi BPFdoor yang saat ini terdeteksi di platform pemindaian Virus Total, yang paling awal dikirimkan pada Agustus 2018.

Sementara tingkat deteksi untuk implan ini meningkat, terutama setelah Beaumont, Rowland, dan Pourcelot mempublikasikan temuan mereka, malware tersebut hampir tidak terlihat untuk waktu yang lama.

Satu varian BPFdoor untuk Solaris dari 2019 tidak terdeteksi hingga setidaknya 7 Mei ini. Saat ini, 28 mesin antivirus menandainya sebagai berbahaya.

Kevin Beaumont, BleepingComputer

Dalam beberapa kasus, pendeteksian bersifat umum dan secara tidak akurat menandai varian Solaris di atas sebagai malware Linux, meskipun itu bukan biner Linux.

Tristan Pourcelot mengatakan bahwa meskipun BPFdoor tidak menggunakan teknik baru atau rumit, BPFdoor masih tetap tersembunyi untuk waktu yang lama.

Ini dapat dijelaskan oleh fakta bahwa teknologi pemantauan malware tidak umum di lingkungan Linux seperti di Windows. Juga, “vendor memiliki visibilitas yang jauh lebih sedikit,” kata Beaumont

Craig Rowland setuju bahwa ini adalah masalah besar. Bahkan jika ada pemantauan, orang tidak tahu apa yang harus dicari atau menggunakan pendekatan yang salah untuk menemukan malware Linux.

Peneliti memberi tahu kami bahwa beberapa administrator menggunakan hash kriptografis untuk memindai sistem dari malware atau file berbahaya. Ini tidak berfungsi dengan baik karena perubahan terkecil dalam file menghasilkan hash baru.

Rowland mengatakan bahwa berburu BPFdoor itu mudah, setidaknya untuk versi Linux yang dia analisis, karena taktiknya dengan jelas menunjukkan bahwa mereka “hanya berbahaya di luar kotak.”

Sumber: Craig Rowland, Keamanan Sandfly

Kode sumber untuk BPFdoor versi lama dari 2018 telah ditemukan oleh Florian Roth, pencipta pemindai THOR APT Sistem Nextron. Kode sekarang tersedia untuk umum di Pastebin.

Para peneliti BleepingComputer berbicara tentang BPFdoor tidak mengaitkan malware dengan aktor ancaman apa pun. Namun dalam laporan tahunan tentang ancaman siber, peneliti dari PricewaterhouseCoopers (PwC) mencatat bahwa mereka menemukan implan pintu BPF selama keterlibatan respons insiden.

PwC mengaitkan intrusi tersebut dengan aktor berbasis di China yang mereka lacak sebagai Red Menshen (sebelumnya Red Dev 18), yang telah menggunakan BPFdoor pada “penyedia telekomunikasi di seluruh Timur Tengah dan Asia, serta entitas di pemerintahan, pendidikan, dan logistik. sektor.”

Selama penyelidikan, peneliti PwC menemukan bahwa pada tahap pasca-eksploitasi serangan mereka, Red Menshen menggunakan varian khusus dari pintu belakang Mangzamel dan alat akses jarak jauh (RAT) Gh0st bersama dengan alat sumber terbuka seperti Mimikatz (untuk mengekstrak kredensial) dan Metasploit suite pengujian penetrasi, untuk gerakan lateral pada sistem Windows.

Para peneliti mencatat bahwa aktivitas Red Menshen berlangsung dalam interval waktu sembilan jam, antara pukul 01:00 dan 10:00 UTC, yang mungkin sejalan dengan jam kerja lokal.

Sumber: Bleeping Computer

Tagged With: BPFdoor, Firewall, Solaris SPARC

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo