BPFDoor
网络安全研究人员发现了第二种有害威胁,即利用 Linux 系统上的伯克利包过滤器 (BPF)。该恶意软件被跟踪为 BPFDoor,可能会在数千台 Linux 设备上发现,但更重要的是,它的控制器多年来一直未被发现。威胁参与者能够对受感染的系统进行监视和间谍活动。
BPF 旨在促进高性能数据包跟踪以及网络分析。然而,它的功能通过 eBPF(扩展 BPF)进一步扩展,允许在系统的操作系统内核中沙盒执行代码。威胁参与者已经意识到这样的工具在跟踪、挂钩系统调用、调试、数据包捕获和过滤、检测等方面有多么有用。
特别是 BPFDoor 能够建立对被破坏机器的后门访问并允许远程执行代码。然而。网络安全专家指出,威胁在不打开新的网络端口或防火墙规则的情况下执行其有害功能的能力。根据分析 BPFDoor 的安全研究员 Kevin Beaumont 的说法,该威胁可以侦听现有端口并做出反应,不打开任何入站网络端口,不涉及出站 C2,并且可以在 Linux 中重命名自己的进程。一段时间以来一直在追踪 BPFDoor 的网络安全研究人员表示,他们将该恶意软件归咎于一个与中国有关的威胁行为者,被追踪为 Red Menshen。
