Backdoor BPFdoor permite acces complet la sistemele Linux și Solaris

Cercetătorii de securitate au descoperit un program malware chinezesc BPFdoor care vizează sistemele Linux și Solaris.


Potrivit cercetătorilor, malware-ul, care poartă numele de BPFdoor , poate ocoli sistemele de firewall și nu necesită deschiderea de noi porturi pentru comunicare.

A passive backdoor

BPFdoor poate amesteca traficul rău intenționat în traficul legitim fără probleme, ceea ce îl face dificil de detectat

Programul malware BPFdoor utilizează un sniffer Berkeley Packet Filter (BPF) pentru a vedea tot traficul de rețea și a trimite pachete. Malware-ul în sine este definit ca o ușă pasivă; poate asculta pe porturi pentru pachetele primite de la una/mai multe gazde. Este poziționat la un nivel scăzut, ceea ce îl face nedetectabil de aplicațiile firewall.

Operatorii BPFdoor pot controla sistemul țintă folosind o parolă magică. BPFdoor poate inspecta pachetele ICMP, UDP și TCP pentru anumite valori de date, precum și parola de la doar UDP și TCP. Malware-ul este capabil să monitorizeze orice porturi, chiar dacă acestea sunt utilizate de alte servicii.

Când sistemul infectat primește datele magice și parola potrivite, malware-ul se activează și devine o ușă în spate care permite executarea comenzilor de la distanță după modificarea regulilor iptables pentru a ascunde comunicațiile sub aplicațiile firewall.

În timp ce acestea se întâmplă, își schimbă și numele binar cu unul aleatoriu din lista de mai jos pentru evaziune:

  • /sbin/udevd -d
  • /sbin/mingetty /dev/tty7
  • /usr/sbin/console-kit-daemon –no-daemon
  • hald-addon-acpi: listening on acpi kernel interface /proc/acpi/event
  • dbus-daemon –system
  • hald-runner
  • pickup -l -t fifo -u
  • avahi-daemon: chroot helper
  • /sbin/auditd -n
  • /usr/lib/systemd/systemd-journald

Chiar înainte ca malware-ul să ruleze, acesta se redenumește în /dev/shm/kdmtmpflush . Când munca sa este terminată, schimbă data binarului la 30 octombrie 2008 înainte de a-l șterge. Se crede că motivul pentru modificarea datei rămâne ascuns atunci când noile fișiere din sistem sunt verificate dacă procesul de ștergere eșuează cumva.

Detectat și pe serverele Speedtest

Malware-ul este actualizat constant pentru a schimba numele proceselor, fișierelor și comenzilor; ceea ce face și mai greu de detectat. Potrivit lui Kevin Beaumont de la DoublePulsar, activitățile BPFdoor au fost detectate în SUA, Coreea de Sud, Hong Kong, Turcia, India, Vietnam, Myanmar și rețelele de organizații ale altor țări. Malware-ul este descoperit și pe unele servere Speedtest care rulau software cu sursă închisă.

Cercetătorii de la Sandfly Security afirmă că caracteristica de redirecționare a BPFdoor este unică și este foarte periculoasă, deoarece traficul rău intenționat se amestecă fără probleme în traficul legitim; făcând mult mai greu de detectat.

Comentarii

Trimiteți un comentariu

Postări populare de pe acest blog

BlueOS: Un sistem de operare care folosește Rust și acceptă Linux

Imagine
  Ce este BlueOS și ce se știe despre el până acum? Nu se cunosc prea multe astăzi despre acest  sistem de operare ciudat și recent  , dar o mică analiză a  site-ului său oficial  (în chineză) ne permite să cunoaștem și să subliniem anumite detalii importante, dintre care se remarcă următoarele 10: Este în dezvoltare din 2018 de către compania chineză Vivo. Nucleul său este scris cu limbajul de programare Rust, care este open source. Este independent de Android, adică este incompatibil cu aplicațiile Android, deocamdată. Nu este destinat să înlocuiască OriginOS și nici FuntouchOS, deținut și de Vivo. Este destinat inițial dispozitivelor IoT și Wearables, și eventual mai târziu pentru telefoane mobile. Oferă o viteză foarte rapidă de lansare a aplicațiilor și are performanțe excelente la deschiderea și gestionarea acestora pe ecran. Suportă arhitecturi hardware diferite, cu mai multe nuclee standard Posix și acceptă nuclee Linux și, de asemenea, acceptă kernel-uri RTOS. Suportă standard
Citiți mai multe

Tocmai a fost lansat /e/OS 1.17, aducând un val de îmbunătățiri, de la măsuri de confidențialitate îmbunătățite la o interfață de utilizator reproiectată.

Imagine
O nouă versiune proaspătă a sistemului de operare mobil open-source e/OS 1.17 este acum disponibilă pentru descărcare și experimentare prin telefoanele disponibile. Un aspect demn de remarcat al /e/OS este suportul pentru multe smartphone-uri, inclusiv ediții specializate sub mărcile Murena One, Murena Fairphone 3+/4 și Murena Teracube 2e. Aceste ediții vin cu firmware /e/OS preinstalat, oferind utilizatorilor o alternativă perfectă, concentrată pe confidențialitate. Cu o fundație înrădăcinată în dezvoltările LineageOS, acest sistem de operare mobil se eliberează de cătușele serviciilor și infrastructurii Google. Rezultatul este o experiență centrată pe utilizator, permițând compatibilitatea cu aplicațiile Android, asigurând în același timp un scut robust împotriva transferului nedorit de telemetrie către serverele Google. Să aruncăm o privire la ce este nou. e/OS 1.17: Ce este nou Confidențialitate îmbunătățită Firmware-ul este îmbogățit cu microG, permițând utilizatorilor să interacț
Citiți mai multe

Google propune utilizatorilor computerelor mai vechi cu Windows 10 să migreze la ChromeOS Flex — 600 de dispozitive certificate

Imagine
  Microsoft va înceta să mai ofere suport pentru Windows 10 pe 14 octombrie 2025, ceea ce ar putea face ca 240 de milioane de PC-uri să devină învechite pentru consumatori și companii din cauza lipsei actualizărilor de securitate gratuite și a suportului tehnic. Deoarece multe dintre sistemele Windows 10 sunt prea vechi pentru a rula Windows 11, mulți utilizatori vor trebui să plătească Microsoft pentru suport extins sau să cumpere PC-uri noi. Unii ar putea dori să își păstreze mașinile existente și să nu plătească Microsoft, ceea ce va fi periculos din cauza lipsei actualizărilor de securitate, dar Google pare să aibă o soluție.   Google sugerează să migreze la ChromeOS Flex, bazat pe cloud, care va continua să primească actualizări de securitate și asistență periodică cel puțin pentru o perioadă de timp, le transmite Google proprietarilor de PC-uri bazate pe Windows 10 care sunt prea învechite pentru a rula Windows 11. Sistemul de operare ușor care poate fi instalat cu ușurință pe di
Citiți mai multe