พบมัลแวร์ที่ใช้โจมตี Linux ชื่อว่า 'BPFDoor' เวอร์ชันใหม่ ที่มีความสามารถในการซ่อนเร้นตัวเองดีกว่าเดิม ซึ่งมีการเข้ารหัสที่มีประสิทธิภาพมากขึ้น รวมถึงมีการใช้งาน reverse shell ที่มีประสิทธิภาพมากขึ้นเช่นเดียวกัน

BPFDoor เป็นมัลแวร์ที่มีความสามารถในการการแฝงตัวทำงานมาตั้งแต่ปี 2017 เป็นอย่างน้อย โดยพึ่งถูกค้นพบจากนักวิจัยด้านความปลอดภัยเมื่อประมาณ 12 เดือนที่ผ่านมาเท่านั้น

มัลแวร์ได้ชื่อมาจากการใช้ 'Berkley Packet Filter' (BPF) สำหรับรับคำสั่ง ในขณะเดียวกันกับที่ Bypass ไฟร์วอลล์ที่ใช้ป้องกันการเข้าถึงจากภายนอก

โดยนักวิจัยคาดว่า BPFDoor ได้รับการออกแบบมาเพื่อให้ผู้ไม่หวังดีสามารถแฝงตัวอยู่ในระบบ Linux ได้นานโดยไม่ถูกตรวจพบ

BPFDoor เวอร์ชันใหม่

จนถึงปี 2022 มัลแวร์ใช้การเข้ารหัส RC4, bind shell และ iptables สำหรับการสื่อสาร, ขณะที่คำสั่ง และชื่อไฟล์เป็นแบบ hardcoded แต่เวอร์ชันใหม่ที่ถูกวิเคราะห์โดย Deep Instinct มีคุณสมบัติการเข้ารหัสแบบ static library, การสื่อสารผ่าน reverse shell และคำสั่งทั้งหมดจะถูกส่งมาจาก C2 เซิร์ฟเวอร์

ด้วยการเข้ารหัสแบบ static library นักพัฒนามัลแวร์ได้ใส่ความสามารถในการซ่อนตัว และการหลีกเลี่ยงการตรวจจับ โดยการนำฟีเจอร์ไลบรารี่การเข้ารหัสแบบ RC4 ออกไป

ส่วนข้อได้เปรียบหลักของ Reverse Shell เมื่อเทียบกับ Bind Shell คือจะมีการสร้างการเชื่อมต่อจากโฮสต์ที่ติดมัลแวร์ไปยังเซิร์ฟเวอร์ C2 ของผู้ไม่หวังดี ทำให้สามารถสื่อสารกับเซิร์ฟเวอร์ของผู้ไม่หวงดีได้แม้ว่าจะมีการใช้งานไฟร์วอลล์ก็ตาม

สุดท้ายการลบคำสั่ง hardcoded ออกไป ทำให้ซอฟต์แวร์ป้องกันไวรัสมีโอกาสน้อยลงในการตรวจจับมัลแวร์โดยใช้การวิเคราะห์แบบ static เช่น การตรวจจับด้วย signature-based และในทางทฤษฎีวิธีนี้ยังมีความยืดหยุ่นมาก ทำให้สามารถรองรับชุดคำสั่งที่หลากหลายได้

Deep Instinct รายงานว่า BPFDoor เวอร์ชันล่าสุดไม่ได้มีการรายงานว่าเป็นอันตรายจากเครื่องมือ AV ใด ๆ ที่มีอยู่ใน VirusTotal แม้ว่าจะมีการอัปโหลดขึ้นไปตรวจสอบครั้งแรกบนแพลตฟอร์ม VirusTotal เมื่อเดือนกุมภาพันธ์ 2023

ชั้นตอนการทำงาน

เมื่อทำงานครั้งแรก BPFDoor จะสร้าง และล็อคไฟล์รันไทม์ที่ "/var/run/initd.