BPFDoor
網絡安全研究人員發現了第二種有害威脅,即利用 Linux 系統上的伯克利包過濾器 (BPF)。該惡意軟件被跟踪為 BPFDoor,可能會在數千台 Linux 設備上發現,但更重要的是,它的控制器多年來一直未被發現。威脅參與者能夠對受感染的系統進行監視和間諜活動。
BPF 旨在促進高性能數據包跟踪以及網絡分析。然而,它的功能通過 eBPF(擴展 BPF)進一步擴展,允許在系統的操作系統內核中沙盒執行代碼。威脅參與者已經意識到這樣的工具在跟踪、掛鉤系統調用、調試、數據包捕獲和過濾、檢測等方面有多麼有用。
特別是 BPFDoor 能夠建立對被破壞機器的後門訪問並允許遠程執行代碼。然而。網絡安全專家指出,威脅在不打開新的網絡端口或防火牆規則的情況下執行其有害功能的能力。根據分析 BPFDoor 的安全研究員 Kevin Beaumont 的說法,該威脅可以偵聽現有端口並做出反應,不打開任何入站網絡端口,不涉及出站 C2,並且可以在 Linux 中重命名自己的進程。一段時間以來一直在追踪 BPFDoor 的網絡安全研究人員表示,他們將該惡意軟件歸咎於一個與中國有關的威脅行為者,被追踪為 Red Menshen。
