BPFDoor 控制器：一個影響深遠的靜默威脅

網路安全世界從未停止變化，隱密手段往往比暴力更有力。最近的一項發現讓人們重新關注到一種名為BPFDoor Controller 的強大惡意軟體元件，揭示了攻擊者如何利用先進技術來維持對關鍵產業和地區受感染網路的長期存取。

什麼是 BPFDoor 控制器？

本次分析的核心是BPFDoor ，這是一個基於Linux的後門，至少從 2021 年開始就已存在，但在 2022 年才引起廣泛關注。它不僅僅是一個惡意軟體。 BPFDoor 的獨特之處在於其隱藏的持久性——它會悄悄地將自己嵌入受感染的系統中。它會長時間保持活躍，使攻擊者能夠長期訪問敏感環境而不會引起警報。

新發現的 BPFDoor 控制器使這一威脅變得更加嚴重。它充當命令中心，允許威脅行為者與受感染的機器進行交互，在網路內橫向移動，並遠端執行特定操作 - 例如打開反向 shell 或重定向連接。該控制器實際上將受感染的伺服器變成了攻擊者的活動工具，從而促進了監視和對關鍵系統的更廣泛存取。

它是如何運作的？

BPFDoor 的名字來自於它使用的網路封包偵測技術柏克萊資料包過濾器 (BPF) 。透過在核心層級嵌入過濾器，惡意軟體可以監聽可能觸發後門的特製“魔術包”，即使防火牆已經到位。這使得惡意軟體具有在等待命令時不被發現的獨特能力。

新發現的控制器組件進一步增強了此功能。在執行任何命令之前，它都會要求輸入密碼——該密碼必須與 BPFDoor 惡意軟體本身中的硬編碼值相符。這種握手確保只有正確的使用者（可能是攻擊者或授權操作員）才能啟動後門的功能。

研究人員指出，該控制器支援各種通訊協定（包括 TCP、UDP 和 ICMP），甚至可以在加密模式下運作以實現安全互動。它還具有“直接模式”，如果輸入正確的密碼，就可以立即存取受感染的機器。

它在哪裡被發現？

該控制器已被發現出現在針對韓國、香港、緬甸、馬來西亞和埃及的電信、金融和零售等行業的網路活動中。這些活動暫時與一個名為Earth Bluecrow的組織有關，該組織還以 DecisiveArchitect 和 Red Dev 18 等其他名稱進行追蹤。

話雖如此，但這條線索還是有些模糊。 BPFDoor 的源代碼於 2022 年洩露，這使得其他駭客組織現在可能正在使用或調整該工具集以用於自己的目的。這增加了歸因的複雜性，並增加了被各種惡意行為者更廣泛利用的可能性。

這意味著什麼？

BPFDoor 及其控制器的影響超越了單一活動。該技術凸顯了 BPF（Linux 系統的一個合法且強大的功能）如何被惡意行為者重新利用來繞過傳統的安全工具。

這種轉變對於防守方來說是一個挑戰。由於 BPF 在系統中處於較低級別運行，因此它可以監控網路流量並在防火牆等更高級別軟體處理流量之前觸發回應。因此，BPFDoor 的活動對於傳統檢測方法基本上是不可見的。

此外，控制器組件的存在意味著受感染的機器不僅僅是被動的受害者。它們可以變成進一步攻擊的活躍管道，為威脅行為者在敏感環境中提供靈活而強大的立足點。

展望未來

雖然 BPFDoor 控制器的發現令人擔憂，但它也提供了一個重要的機會。透過了解該系統的工作原理（如何通訊、移動和隱藏），網路安全專業人員可以開始製定更好的防禦措施。

經營 Linux 伺服器的組織，尤其是高價值產業的組織，應該審查其防禦措施，以防範這些新出現的威脅。

從長遠來看，BPFDoor 控制器提醒我們，網路威脅不僅在範圍上不斷演變，而且在複雜性上也不斷演變。防禦未來的惡意軟體不僅需要更堅固的牆壁，還需要更聰明的眼睛看守大門。