BPFDoor
サイバーセキュリティの研究者は、LinuxシステムでBerkeley Packet Filter(BPF)を悪用して、2番目の有害な脅威を発見しました。 BPFDoorとして追跡されたマルウェアは、数千のLinuxデバイスで検出される可能性がありますが、さらに重要なことに、そのコントローラーは何年にもわたって検出されないままになっています。攻撃者は、侵害されたシステムに対して監視およびスパイ活動を実行することができました。
BPFは、ネットワーク分析だけでなく、高性能のパケットトレースを容易にするように設計されています。ただし、その機能はeBPF(拡張BPF)によってさらに拡張され、システムのOSカーネル内でコードをサンドボックス化して実行できるようになりました。脅威アクターは、このようなツールがトレース、システムコールのフック、デバッグ、パケットキャプチャとフィルタリング、インストルメンテーションなどにどれほど役立つかを理解しています。
特にBPFDoorは、侵害されたマシンへのバックドアアクセスを確立し、コードのリモート実行を可能にします。でも。サイバーセキュリティの専門家が指摘したのは、新しいネットワークポートやファイアウォールルールを開かずに、脅威が有害な機能を実行できることです。 BPFDoorを分析したセキュリティ研究者のKevinBeaumontによると、脅威は既存のポートをリッスンして反応し、インバウンドネットワークポートを開かず、アウトバウンドC2を含まず、Linuxで独自のプロセスの名前を変更できます。しばらくの間BPFDoorを追跡しているサイバーセキュリティ研究者は、マルウェアがRedMenshenとして追跡されている中国にリンクされた脅威アクターに起因すると述べています。
