Linuxバックドアの技術をカーネル深くに押し込む7つの新しいBPFDoor亜種で、大規模な通信ネットワークでの検出がより困難になります。
これらのマルウェアはBerkeley Packet Filter(BPF)を使用して、オペレーティングシステムカーネル内のトラフィックを静かに検査し、隠されたシェルを起動する「マジックパケット」を待機します。
トリガーされると、バックドアは通常のプロセスとネットワークフローに溶け込み、攻撃者に最小限のノイズで長期的なアクセスを提供します。
これらの亜種での目立った変更は、コマンド&アンド&コントロール(C2)の処理方法です。固定のC2サーバやハードコードされたIPに依存する代わりに、マルウェアはマジックパケットの送信元をC2エンドポイントとして扱うことができ、インフラストラクチャをステートレスコントローラーに変えます。
特別な「隠しIP」(HIP)フィールドと-1フラグにより、バックドアは埋め込まれたC2アドレスを無視して、攻撃者がNATやVPNの背後にいても送信元にコールバックできます。
httpShellとicmpShellの亜種も、ICMP ベースのリレーを導入し、感染したホストを目に見えないルーターに変えます。
Rapid7 Labsの新しい研究は文書化されていない機能を明らかにし、7つの新しいBPFDoor亜種の発見につながりました。
HIPフィールドから内部ターゲットIPを読み込み、フラグを「マジック」ICMP値に書き換え、作成されたEchoリクエストを転送することで、BPFDoorは従来のポートを開くことなく内部セグメント全体に横方向に移動できます。
これは、組織がpingトラフィックを許可することが多く、ICMPを深く検査することがめったにないという事実を利用しています。
HTTPトンネリングと「マジックルーラー」
httpShellは、IPv4とIPv6の両方でHTTPトラフィック内にC2を隠すことに焦点を当てています。すべてのインターフェースにバインドし、GREやGTPなどの複雑なトンネルをカーネルに分解させるため、BPFロジックは特定のマジックマーカーに対する内部パケットを見るだけで済みます。
「マジックルーラー」パディングスキームは、プロキシとWAFがヘッダーを追加またはシフトした場合でも、4バイトのトリガー値が常に同じバイトオフセットに着地することを保証し、バックドアがレイヤー7の大規模な操作を生き残ることができます。
ただし、IPv6実装には制限があります。フィルタは拡張ヘッダーなしの単純なIPv6ヘッダーを想定しているため、追加のヘッダーが存在してペイロードをさらに下に押し下げる場合、バックドアは起動しない可能性があります。
これにより、高価値環境でBPFフィルタを探すことができるディフェンダーにとって、狭いながら有用な検出角度が生まれます。
ICMPシェル亜種は、古典的なアウトバウンドチャネルが制限される非常にロックダウンされた環境向けに設計されています。
ICMPを介して完全にインタラクティブシェルを確立し、動的BPFフィルタを使用してマルウェアの現在のプロセスIDにバインドするため、各実行には異なる「マジックノック」パターンが必要です。これにより、静的なファイアウォールルールと、固定のマジックバイトを期待するシグネチャベースのトリガーが破られます。
アクティブになると、icmpShellは双方向ICMPトンネル、UDP/ICMPの「ホールパンチング」、およびシェル出力を返すためのRC4暗号化をサポートし、攻撃者のコマンドは「X:」のような認識可能なプレフィックスでクリアテキストで移動する可能性があります。
また、ハードコードされたICMPシーケンス番号とハートビートメッセージ用の技術的に無効なICMPコードを使用し、ICMPフローを監視するようにチューニングされたネットワーク侵入検知システムの信頼できる構造的マーカーになります。
追加の亜種とアクティブなビーコン
httpShellとicmpShellを超えて、Rapid7は隠蔽と復元力を特化させた複数の文字で示された亜種を追跡しています。
tcpdumpスクリーンは、ICMPハンドシェイク、シェルのデータ暗号化、攻撃者のコマンド、およびバックドアにハードコードされた1234 ICMPシーケンス番号の使用を強調表示しています。
一部は/var/run/user/0のようなパスの下に隠れ、攻撃的にファイルディスクリプタとタイムスタンプをワイプして法医学を困難にしますが、他は3つのプロトコル固有のローソケット(TCP、UDP、ICMP)を並列で生成してマジックパケットを見逃さず、1つのプロトコルがブロックされた場合にフォールバックC2チャネルを提供します。
注目すべき「H」亜種は、定期的にNTPテーマのドメインを解決し、レガシーOpenSSLとRC4-MD5を使用してTCP 443経由で暗号化されたセッションを開き、時刻同期またはIoTテレメトリとなりすましているアクティブなビーコンを導入しています。
ほとんどのサンプルは出力を/dev/nullにリダイレクトするだけです。この亜種はさらに進んで、完全なFD(ファイルディスクリプタ)ワイプを実行します。
C2を見た目は日常的なSSLトラフィックの中に隠すことで、インバウンド接続を大幅にフィルタリングするがアウトバウンドHTTPSを許可する環境でも、マルウェアはアクセスを維持できます。
公開されたYARAとSuricataルール、およびアクティブなBPFフィルタを列挙するための専用トリアージスクリプトは、チームが新しいBPFDoor亜種がレガシーと同様に検出され、通信バックボーンの長期的なスリーパーセルになる前に検出されることを目的としています。
これらのマルウェアはカーネルに存在し、BPFロジックに依存しているため、ディフェンダーは単純なIoCとペイロードシグネチャを超えて移動する必要があります。
Rapid7は、AF_PACKETまたはローソケット上の異常なBPFフィルタ、ハードコードされたICMPシーケンス番号と無効なICMPコード、および一般的なデーモンを装うが疑わしい実行パスを持つプロセスなどの構造的異常に焦点を当てることを推奨しています。
翻訳元: https://gbhackers.com/bpfdoor-variants/
