Une nouvelle variante plus furtive du malware Linux « BPFDoor » a été découverte, avec un cryptage plus robuste et des communications inversées.
BPFDoor est un logiciel malveillant de porte dérobée qui est actif depuis au moins 2017, mais qui n’a été découvert par des chercheurs en sécurité qu’il y a environ 12 mois.
Le malware tire son nom de l’utilisation du « filtre de paquets Berkley » (BPF) pour recevoir des instructions tout en contournant les restrictions du pare-feu du trafic entrant.
BPFDoor est conçu pour permettre aux acteurs de la menace de maintenir une longue persistance sur les systèmes Linux piratés et de rester non détectés pendant de longues périodes.
Nouvelle version BPFDoor
Jusqu’en 2022, le logiciel malveillant utilisait le cryptage RC4, le shell de liaison et iptables pour la communication, tandis que les commandes et les noms de fichiers étaient codés en dur.
La nouvelle variante analysée par Deep Instinct propose un cryptage de bibliothèque statique, une communication shell inversée et toutes les commandes sont envoyées par le serveur C2.
En incorporant le cryptage dans une bibliothèque statique, les développeurs de logiciels malveillants obtiennent une meilleure furtivité et une meilleure dissimulation, car la dépendance à l’égard de bibliothèques externes comme celle comportant l’algorithme de chiffrement RC4 est supprimée.
Le principal avantage du reverse shell par rapport au bind shell est que le premier établit une connexion entre l’hôte infecté et les serveurs de commande et de contrôle de l’acteur menaçant, permettant la communication avec les serveurs des attaquants même lorsqu’un pare-feu protège le réseau.
Enfin, la suppression des commandes codées en dur réduit la probabilité que les logiciels antivirus détectent les logiciels malveillants à l’aide d’une analyse statique telle que la détection basée sur les signatures. Cela lui donne aussi théoriquement plus de flexibilité, prenant en charge un ensemble de commandes plus diversifié.
Deep Instinct rapporte que la dernière version de BPFDoor n’est signalée comme malveillante par aucun des moteurs AV disponibles sur VirusTotal, malgré sa première soumission sur la plateforme datant de février 2023.
Logique de fonctionnement
Lors de la première exécution, BPFDoor crée et verrouille un fichier d’exécution à « /var/run/initd.lock », puis se lance pour s’exécuter en tant que processus enfant, et se configure enfin pour ignorer divers signaux du système d’exploitation qui pourraient l’interrompre.
Ensuite, le logiciel malveillant alloue une mémoire tampon et crée un socket de reniflage de paquets qu’il utilisera pour surveiller le trafic entrant pour une séquence d’octets « magique » (« \x44\x30\xCD\x9F\x5E\x14\x27\x66 ») .
À ce stade, BPFDoor attache un filtre de paquets Berkley au socket pour lire uniquement le trafic UDP, TCP et SCTP via les ports 22 (ssh), 80 (HTTP) et 443 (HTTPS).
Toutes les restrictions de pare-feu présentes sur la machine piratée n’auront pas d’impact sur cette activité de reniflage car BPFDoor fonctionne à un niveau si bas qu’elles ne sont pas applicables.
« Lorsque BPFdoor trouve un paquet contenant ses octets « magiques » dans le trafic filtré, il le traite comme un message de son opérateur et analyse deux champs et se bifurque à nouveau », explique Deep Instinct.
« Le processus parent continuera et surveillera le trafic filtré passant par le socket tandis que l’enfant traitera les champs précédemment analysés comme une combinaison Command & Control IP-Port et tentera de le contacter. »
Après avoir établi une connexion avec le C2, le malware met en place un reverse shell et attend une commande du serveur.
BPFDoor reste non détecté par les logiciels de sécurité, de sorte que les administrateurs système ne peuvent compter que sur une surveillance vigoureuse du trafic réseau et des journaux, en utilisant des produits de protection des terminaux à la pointe de la technologie, et surveillent l’intégrité des fichiers sur « /var/run/initd.lock ».
En outre, un rapport de mai 2022 de CrowdStrike a souligné que BPFDoor utilisait une vulnérabilité de 2019 pour assurer la persistance sur les systèmes ciblés, de sorte que l’application des mises à jour de sécurité disponibles est toujours une stratégie cruciale contre tous les types de logiciels malveillants.