BPFDoor Backdoor IOCs - Part 3

security IOC
Опубликовано

Недавно компания PwC Threat Intelligence задокументировала существование BPFDoor, пассивного сетевого имплантата для Linux, который они приписывают Red Menshen, китайской группе угроз.

BPFDoor является интересным решением. Он позволяет субъекту угрозы сделать бэкдор в системе для удаленного выполнения кода, не открывая никаких новых сетевых портов или правил брандмауэра. Например, если веб-приложение существует на порту 443, оно может прослушивать и реагировать на существующий порт 443, и имплантат может быть достигнут через порт веб-приложения (даже при запущенном веб-приложении). Это происходит потому, что используется пакетный фильтр BPF.

Операторы имеют доступ к инструменту, который позволяет общаться с имплантами, используя пароль, что позволяет использовать такие функции, как удаленное выполнение команд. Это работает через внутренние и интернет-сети.

Поскольку BPFDoor не открывает никаких входящих сетевых портов, не использует исходящий C2 и переименовывает свой собственный процесс в Linux (так что ps aux, например, покажет дружественное имя), он очень уклончив.

Indicators of Compromise

SHA256

  • 07ecb1f2d9ffbd20a46cd36cd06b022db3cc8e45b1ecab62cd11f9ca7a26ab6d
  • 144526d30ae747982079d5d340d1ff116a7963aba2e3ed589e7ebc297ba0c1b3
  • 2e0aa3da45a0360d051359e1a038beff8551b957698f21756cfc6ed5539e4bdb
  • 3631f806f84643aead8c4995e7bf6177d889d610cd9bdb13354aea1fc7d3a2b5
  • 3a1b174f0c19c28f71e1babde01982c56d38d3672ea14d47c35ae3062e49b155
  • 3fd677dccec69ce4f0ed20dded252e8ad132ac82e8eede0b8fbe1c1bec587acd
  • 4c5cf8f977fc7c368a8e095700a44be36c8332462c0b1e41bff03238b2bf2a2d
  • 54a4b3c2ac34f1913634ab9be5f85cde19445d01260bb15bcd1d52ebcc85af2c
  • 591198c234416c6ccbcea6967963ca2ca0f17050be7eed1602198308d9127c78
  • 599ae527f10ddb4625687748b7d3734ee51673b664f2e5d0346e64f85e185683
  • 5b2a079690efb5f4e0944353dd883303ffd6bab4aad1f0c88b49a76ddcb28ee9
  • 5faab159397964e630c4156f8852bcc6ee46df1cdd8be2a8d3f3d8e5980f3bb3
  • 74ef6cc38f5a1a80148752b63c117e6846984debd2af806c65887195a8eccc56
  • 76bf736b25d5c9aaf6a84edd4e615796fffc338a893b49c120c0b4941ce37925
  • 8b84336e73c6a6d154e685d3729dfa4e08e4a3f136f0b2e7c6e5970df9145e95
  • 96e906128095dead57fdc9ce8688bb889166b67c9a1b8fdb93d7cff7f3836bb9
  • 97a546c7d08ad34dfab74c9c8a96986c54768c592a8dae521ddcf612a84fb8cc
  • a002f27f1abb599f24e727c811efa36d2d523e586a82134e9b3e8454dde6a089
  • ac06771774538f33b0e95a92ae1a3e8aaf27e188b51700a03c14ca097af09cac
  • bd353a28886815f43fe71c561a027fdeff5cd83e17e2055c0e52bea344ae51d3
  • c796fc66b655f6107eacbe78a37f0e8a2926f01fecebd9e68a66f0e261f91276
  • c80bd1c4a796b4d3944a097e96f384c85687daeedcdcf05cc885c8c9b279b09c
  • db91fce6304a787a8602ced95eda81aa6a000fbb645c63f36da79e9663f3794b
  • dc8346bf443b7b453f062740d8ae8d8d7ce879672810f4296158f90359dcae3a
  • dfdabe9013e783535a76407b61b63e97db283daab202218077cc0b846b3caa42
  • ee4a8b2fb214b61a7e1941cd6a446ce12621f7563fdb74ff573956ccb69db286
  • f47de978da1dbfc5e0f195745e3368d3ceef034e964817c66ba01396a1953d72
  • f8a5e735d6e79eb587954a371515a82a15883cf2eda9d7ddb8938b86e714ea27
  • fa0defdabd9fd43fe2ef1ec33574ea1af1290bd3d763fdb2bed443f2bd996d73
  • fd1b20ee5bd429046d3c04e9c675c41e9095bea70e0329bd32d7edd17ebaf68a
  • fe9f3b7451913f184e1f53b52a03a981dcea5564633cfcb70d01bd0aec8f30a7

 

Похожие записи:
  1. BPFDoor Backdoor IOCs
  2. BPFDoor Backdoor IOCs - Part 2
  3. Custom Python Backdoor для VMWare ESXi Servers
  4. STOWAWAY, BEACON Backdoor IOCs
  5. WhiskerSpy Backdoor IOCs
Backdoor BPFDoor PwC Red Menshen
Добавить комментарий