BPFDoor：Linux/Unix 背后门分析

关键要点

• BPFDoor 是一种 Linux/Unix 后门，允许攻击者远程访问被攻击的设备。
• 该恶意软件使用多种协议与指挥控制服务器（C2）通信，包括 TCP、UDP 和 ICMP。
• BPFDoor 被归因于中国威胁组织 Red Menshen（又名 DecisiveArchitect）。
• 自 2018 年以来，该组织发起了针对美国、南韩、香港、土耳其、印度、越南和缅甸等地的攻击。
• 受害者包括电信、政府、教育和物流等多个领域的机构。
• Qualys 提供的定制评估和补救措施可用于检测 BPFDoor。

BPFDoor 是一种恶意软件，旨在允许攻击者通过 Linux shell 远程连接并完全控制受损设备。它利用 Berkeley PacketFilters（）及其他技术实现远程访问，其支持多协议的通信。

BPFDoor 的技术分析

执行

攻击者借助一种名为“JustForFun”的自定义植入程序。当该植入程序执行时，它会随机选择一个新的二进制名称覆盖进程命令行，以达到伪装效果（如图 1所示），以此避开安全解决方案。


通过 bash 进程与植入程序交互，使其在系统上建立交互式 shell。命令行指令示例显示使用了 Postfix 队列管理器（见图 2）。

qmgr -l -t fifo -u


伪装（重命名进程）


该恶意软件使用 prctl 函数与参数 PR_SET_NAME 来重命名自身，并选择一个随机的合法名称（见图 3）。这些名称已在二进制中硬编码，样本间存在差异。

时间戳伪造

植入程序在删除前设置一个虚假的时间戳。调用了名为 set_time 的函数，通过 utimes 函数改变二进制的访问和修改时间戳，始终设置为 2008 年 10 月 30 日 19:17:16（GMT）。

PID 文件

植入程序会在 /var/run/haldrund.pid 创建一个零字节的 PID 文件（见图 5）。该文件有两个条件：

• 如果植入程序正常终止，该文件将被删除。
• 如果发生硬关闭或崩溃，文件将不会被删除。

如果该文件存在，植入程序不会恢复运行，因为它描述了后门的运行状态。

利用 Qualys 自定义评估与补救进行 BPFDoor 检测

Qualys 自定义评估和补救可以创建并执行针对零日威胁的自定义检测逻辑。此云服务支持多种脚本语言，包括 Perl、Shell、Python、Lua、PowerShell 和 VBScript，无供应商特定语法或限制。

我们通过 Qualys 脚本服务创建了 Shell脚本作为检测逻辑，并在整个网络上执行。该脚本旨在查找整个进程堆栈中的数据包嗅探进程，并检查是否存在已经打开原始套接字的进程，使用的工具为 Linux 默认的 lsof。

使用 Qualys 多向 EDR 进行 BPFDoor 检测

Qualys 多向 EDR 搭载 YARA 扫描技术，对 BPFDoor 的 RAT 进行检测，威胁评分为 5/10（见图 8）。

![Qualys 多向