高度な持続的な脅威は、現代的なネットワーク防御を回避するために常に手法を更新しています。最近、セキュリティ研究者はBPFDoorマルウェアの7つの新しいバリアントを発見しました。
BPFDoorは、Berkeley Packet Filters(BPF)を使用してオペレーティングシステムの深部からネットワークトラフィックを監視するステルス性の高いカーネルレベルのバックドアです。特定の「マジックパケット」をネットワーク上で送信することで脅威アクターが起動できる静かなトラップドアを作成します。
このメカニズムにより、マルウェアはほぼ検出不可能なスリーパーセルを確立でき、特に世界的な通信インフラストラクチャ内での活動が可能になります。
ほぼ300のマルウェアサンプルの最近の分析では、2つの主要な新しいバリアント(httpShellとicmpShell)が特定されました。
これらのバージョンは、攻撃者の運用セキュリティの大幅な改善を示しています。従来、BPFDoorはファイルレスで実行されることで隠蔽を試み、実行後に自身を削除していました。
しかし、最新のエンドポイント セキュリティツールはこの動作を簡単に検出するため、新しいバリアントはディスク上に直接常駐するようになりました。
ハードコードされたプロセス名を使用して通常のシステムバックグラウンドプロセスに見せかけることで、侵害されたマシンでの検出がはるかに難しくなります。
最も革新的な新機能の1つは、マルウェアのステートレスC2ルーティングの使用です。マジックパケット内の特定のフラグを設定することで、マルウェアはハードコードされたIPアドレスを無視します。代わりに、リバースシェルを、それを起動したパケット内で見つかったソースIPに直接送信します。
これにより、攻撃者はVPNまたはネットワークアドレス変換(NAT)の背後からマルウェアを制御できるようになり、ペイロードに独自の外部IPアドレスをハードコードする必要がなくなります。
脅威アクターは、マルチプロトコルの並列スニッフィングも導入しました。一部のバリアントは、マルチスレッドアーキテクチャを使用してTCP、UDP、ICMPトラフィックを同時に監視します。
各プロトコルに専用のスレッドを割り当てることで、マルウェアは忙しいネットワーク上でも起動トリガーを決して見逃しません。
この並列設計により、攻撃者は高いセキュリティ変更への耐性を持つようになります。ディフェンダーが異常なICMPトラフィックをブロックした場合、攻撃者はトリガーの送信をTCP経由に切り替えて、問題なく継続できます。
正当なHPE管理ソフトウェアになりすまし、実際のシステムエージェントを殺害してその役割を引き継ぎます。別のバリアントは完全な沈黙から離れ、アクティブなビーコンを使用します。
SSLを介した通常のNetwork Time Protocol(NTP)トラフィックになりすましてファイアウォールをバイパスし、標準的なシステムアップデートに見える。ドメインに到達します。
これらのステルス戦術に対抗するため、セキュリティチームは検出エンジニアリング戦略をシフトさせる必要があります。
従来のペイロード署名を探す代わりに、ディフェンダーはハードコードされたシーケンス番号や無効なプロトコルコードなど、ネットワークトラフィックの構造的異常を探すべきです。
ルートとして実行されているなりすまされたプロセスの監視と、パケットソケットに接続されたアクティブなBPFフィルターの確認は、これらの高度な脅威を特定するために重要です。
翻訳元: https://cyberpress.org/bpfdoor-variants-go-stealthier/