В глобальной телекоммуникационной инфраструктуре обнаружены новые, почти невидимые варианты бэкдора BPFDoor

Исследовательская команда Rapid7 Labs в ходе масштабной работы, проанализировав почти 300 образцов, обнаружила семь ранее неизвестных вариантов этого бэкдора. Эти варианты, обозначенные как httpShell и icmpShell, представляют собой качественный скачок в скрытности и функциональности. Суть угрозы заключается в использовании возможностей ядра операционной системы через механизм Berkeley Packet Filter (BPF, технология фильтрации сетевых пакетов на уровне ядра). Это позволяет вредоносной программе создавать "тихую" ловушку прямо в ядре, которая активируется только при получении специального "волшебного пакета", передаваемого по протоколам без сохранения состояния. После активации бэкдор практически сливается с легитимной активностью целевой системы, устанавливая почти необнаружимое закрепление в глобальной телеком-инфраструктуре.

Исторически BPFDoor считался "бесфайловым", так как запускался из области разделяемой памяти "/dev/shm" и затем удалял себя. Однако современные системы класса EDR (Endpoint Detection and Response, системы обнаружения и реагирования на конечных точках) научились флажить процессы, выполняемые из удалённых inode во временных файловых системах. Осознавая это, разработчики варианта httpShell полностью отказались от сброса в "/dev/shm". Теперь вредоносный код постоянно resides on disk (находится на диске), используя единственное, жёстко заданное имя процесса, чтобы маскироваться под обычный системный демон. Более того, некоторые новые варианты, например, вариант ‘F’, для повышения скрытности размещаются в каталоге "/var/run/user/0", избегая команды "chmod", что не оставляет следов в системном аудите. Поскольку "/run" редко монтируется с флагом "noexec", вредоносная программа обходит самые распространённые локальные меры hardening (усиления защиты).

Два ключевых новых варианта, httpShell и icmpShell, используют разные, но одинаково сложные для обнаружения техники. Вариант httpShell работает на уровне ядра, осуществляя валидацию как IPv4, так и IPv6 трафика. Он использует туннелирование через HTTP для извлечения скрытых команд и обладает новым полем "Скрытый IP" (Hidden IP, HIP) для динамической маршрутизации. Его фильтр BPF привязывается ко всем сетевым интерфейсам одновременно, заставляя ядро жертвы самостоятельно распаковывать сложные туннели операторского класса, такие как GRE или GTP. Это позволяет фильтру легко перехватывать "волшебные байты", спрятанные во внутренних пакетах. Для обхода корпоративных прокси и WAF, которые могут смещать позиции данных, злоумышленники применяют математическую схему дополнения, гарантируя, что их маркер всегда оказывается на строго определённом смещении.

Вариант icmpShell, в свою очередь, предназначен для сильно ограниченных сред и туннелирует интерактивные сессии полностью через протокол ICMP. Его ключевая особенность - динамическая мутация. Этот вариант внедряет в ядро фильтр BPF, который жёстко привязан к идентификатору процесса (PID) запущенного экземпляра вредоносной программы. Поскольку PID меняется при каждом запуске, требуемая для активации "волшебная" сигнатура также меняется динамически, что делает бесполезными статические правила межсетевых экранов. Помимо базовой оболочки, он реализует двусторонние ICMP-туннели, технику "пробоя" firewall для UDP и ICMP, а также шифрование RC4. Оба варианта поддерживают ретрансляцию через ICMP, что значительно расширяет возможности злоумышленников по lateral movement (горизонтальному перемещению внутри сети).

Одним из самых элегантных и опасных нововведений является реализация stateless C2 (командного центра без сохранения состояния). В структуре "волшебного пакета" используется специальный флаг "-1" в поле IP. Если этот флаг установлен, вредоносная программа игнорирует жёстко заданные IP-адреса и отправляет свою обратную оболочку на исходный IP-адрес, из которого пришёл активирующий пакет. Эта функция делает контроллер злоумышленника полностью stateless (не сохраняющим состояние). Атакующие могут разворачивать атаку из-за NAT или VPN, не нуждаясь в предварительном определении или жёстком кодировании своего текущего внешнего IP-адреса в полезную нагрузку. Кроме того, была обнаружена функция ICMP-ретрансляции. Когда условие аутентификации в пакете не выполняется, заражённая машина превращается в невидимый сетевой маршрутизатор. Она извлекает внутренний целевой IP-адрес из поля HIP, перезаписывает триггерный флаг на "волшебные байты" ICMP и отправляет сформированный ICMP Echo Request на внутреннюю цель, реализуя механизм пересылки, при этом предотвращая зацикливание.

Специалисты Rapid7 сообщили, что их исследование новых вариантов продолжается. На момент публикации было идентифицировано семь новых вариантов с новыми "волшебными байтами" и активным beaconing (оповещением командного центра). Например, вариант ‘H’ радикально отличается от классического скрытного сниффера BPFDoor, который не генерирует исходящего трафика. Этот вариант использует активный, гарантирующий доступ beacon, который обходит stateful firewall (межсетевые экраны с отслеживанием состояния), разрешающие только исходящие соединения. Механизм heartbeat (сердцебиения) постоянно разрешает динамические DNS-домены, маскируясь под NTP (Network Time Protocol, сетевой протокол времени) поверх SSL, что позволяет зашифрованным C2-сессиям сливаться с рутинным сетевым шумом. Некоторые варианты, такие как образец, настроенный для серверов HPE ProLiant, демонстрируют тактику "живи за счёт земли", напрямую маскируясь под легитимные процессы агентов управления HPE Insight, что указывает на глубокое понимание злоумышленниками целевой среды, характерной для физического оборудования в ядрах сетей 4G и 5G.

Обнаружение этих вариантов представляет значительную сложность для традиционных средств защиты, ориентированных на сигнатуры. Они используют сложные техники обфускации, динамическую мутацию сигнатур и маскировку под легитимный системный трафик. Угроза подчёркивает необходимость для защитников инфраструктуры переходить от реактивных мер, основанных на известных индикаторах, к проактивным стратегиям, включающим анализ аномалий в поведении, мониторинг низкоуровневых активностей ядра и внедрение принципов нулевого доверия для сегментации критически важных сегментов сети, особенно в телекоммуникационном секторе.

Domains

• casacam.net
• ntpd.casacam.net
• ntpupdate.ddnsgeek.com
• ntpupdate.ygto.com
• ntpussl.instanthq.com
• ygto.com

SHA256

• 195b98211d1ce968669a0740ca08d0ddcf03a2df03a47e2e70550f6c002b49e8
• 9ee77ed38e5bc69f841bdaba7c5e6c3bf30fd9ae94cd2e69f39834e9cec76e82
• ca56622773c1b6f648b1578978b57aa668df25a11e0c782be008384a6af6c2c4