I ricercatori di sicurezza informatica di Deep Instinct hanno comunicato di aver scovato una nuova variante della backdoor per Linux BFPDoor che risulta particolarmente difficile da individuare, in quanto può restare nascosta più a lungo andando a sfruttare varie tecniche per evitare la rilevazione da parte degli antivirus adoperati sul sistema operativo.
BPFDoor: scoperta una nuova variante di difficile individuazione
Per chi non lo sapesse oppure non ne avesse memoria, BPFDoor è una backdoor che circola da svariati anni a questa parte. Il nome deriva dal Berkley Packet Filter (BPF) che permette di ricevere istruzioni e stabilire una connessione sul traffico in entrata andando ad aggirare i filtri del firewall.
La nuova variante da poco scovata presenta parecchi miglioramenti rispetto alla prima. Più precisamente, la versione del 2023 sfrutta una libreria crittografica statica al posto della crittografia RC4 e una comunicazione tramite reverse shell al posto di bind shell e iptables. La nuova versione, inoltre, non presenta alcun comando hardcoded, ma l'invio avviene dal server C2.
Come anticipato, eventuali restrizioni del firewall presenti su una macchina compromessa non influiranno sull’attività del malware perché BPFDoor opera a un livello talmente basso da non essere applicabile. “Quando BPFdoor trova un pacchetto nel traffico filtrato che contiene i suoi byte “magici”, lo tratta come un messaggio del suo operatore, analizza i due campi e esegue nuovamente il fork” ha spiegato Deep Instinct.
Considerando le caratteristiche della nuova variante di BPFDoor, gli amministratori di sistema possono fare affidamento solo sul monitoraggio proattivo del traffico e dei registri di rete sfruttando prodotti di sicurezza degli endpoint all’avanguardia ed eseguendo il controllo dell’integrità del file /var/run/initd.lock.