Biến thể mới của backdoor BPFDoor trên Linux đã tái xuất, mạnh mẽ hơn và được thiết kế để ẩn mình sâu bên trong cơ sở hạ tầng mạng quan trọng. Các nhà nghiên cứu đã phát hiện những biến thể mới này, được xây dựng để duy trì khả năng tàng hình trên các máy chủ Linux nhúng sâu trong hệ thống viễn thông toàn cầu, đặt ra mối đe dọa mạng đáng kể.
Không giống các phiên bản trước, các biến thể mới của BPFDoor tích hợp nhiều kỹ thuật phức tạp, làm tăng đáng kể độ khó trong việc phát hiện xâm nhập và loại bỏ chúng khỏi hệ thống đã bị tổn thương.
BPFDoor: Cơ Chế Hoạt Động Tàng Hình
Lạm Dụng Berkeley Packet Filter (BPF)
BPFDoor khai thác Berkeley Packet Filter (BPF), một chức năng hợp lệ của kernel Linux dùng để kiểm tra và lọc lưu lượng mạng. Mã độc tải một bộ lọc BPF tùy chỉnh, cho phép nó giám sát mọi gói tin đến trên hệ thống bị nhiễm mà không cần mở bất kỳ cổng nào có thể nhìn thấy.
Tường lửa không phát hiện điều bất thường, và các công cụ quét cổng tiêu chuẩn đều cho kết quả sạch. Backdoor này chờ đợi một gói kích hoạt đặc biệt, hay còn gọi là “magic packet”, và chỉ kích hoạt khi tín hiệu chính xác đó được gửi đến.
Thiết Kế Tàng Hình và Khó Phát Hiện
Thiết kế thụ động này đã giúp BPFDoor tồn tại mà không bị phát hiện trên các mạng bị xâm nhập trong nhiều tháng, thậm chí nhiều năm. Các nhà phân tích của Rapid7 đã xác định bảy biến thể BPFDoor mới sau cuộc điều tra kéo dài hàng tháng, phân tích gần 300 mẫu mã độc. Nghiên cứu của Rapid7 đã tiết lộ hai biến thể chính mới: icmpShell và httpShell.
Các Biến Thể Mới: icmpShell và httpShell
Định Tuyến Command-and-Control (C2) Phi Trạng Thái
Một trong những thay đổi nổi bật nhất trong các biến thể mới là cách chúng xử lý giao tiếp với kẻ tấn công. Trong các phiên bản cũ, địa chỉ IP của kẻ tấn công phải được mã hóa cứng trong payload của magic packet – một điểm cố định mà người phòng thủ có thể phát hiện.
Các biến thể BPFDoor mới giải quyết vấn đề này bằng một cờ -1 đặc biệt, được đặt thành địa chỉ IP broadcast 255.255.255.255. Khi cờ này xuất hiện trong cấu trúc magic packet, mã độc sẽ bỏ qua bất kỳ địa chỉ cứng nào và định tuyến reverse shell trở lại địa chỉ IP nguồn được tìm thấy trong tiêu đề của gói kích hoạt.
Điều này làm cho bộ điều khiển của kẻ tấn công hoàn toàn phi trạng thái, cho phép chúng hoạt động từ phía sau thiết bị NAT hoặc VPN mà không để lộ địa chỉ C2 cố định.
Truyền Tải Lệnh Qua ICMP Relay
Khi quá trình kiểm tra xác thực thất bại, máy bị nhiễm không chỉ đơn thuần im lặng mà còn trở thành một nút relay ẩn bên trong mạng. Mã độc đọc địa chỉ IP mục tiêu nội bộ từ trường Host Identity Protocol (HIP) được nhúng trong gói ICMP, ghi lại các byte kích hoạt chính và gửi một yêu cầu ICMP Echo Request được chế tạo đặc biệt đến địa chỉ nội bộ đó.
Điều này cho phép kẻ tấn công thực hiện các lệnh qua các hệ thống nội bộ bằng cách sử dụng lưu lượng ping, vốn thường không bị các công cụ giám sát gắn cờ. Để ngăn chặn các vòng lặp relay, mã độc đặt lại IP hop về -1 sau mỗi gói được chuyển tiếp.
Kẻ tấn công có thể sử dụng phương pháp này để thực hiện các lệnh như sau (ví dụ minh họa):
# Ví dụ lệnh ICMP Echo Request được chế tạo
# Địa chỉ IP mục tiêu nội bộ: 192.168.1.10
# Ký tự kích hoạt được mã hóa trong data payload
ping -c 1 192.168.1.10 -p "magic_bytes_for_command"
Đa Kênh Giao Tiếp và Kỹ Thuật Che Giấu
Backdoor BPFDoor mở ba socket song song cho TCP, UDP và ICMP, cung cấp một phương án dự phòng nếu người phòng thủ chặn một kênh. Trên máy chủ, nó ngụy trang tiến trình của mình thành một dịch vụ hợp pháp, chẳng hạn như HPE Insight Management Agents, thực hiện kỹ thuật timestomping và xóa các bộ mô tả tệp (file descriptors) để xóa mọi dấu vết.
Đối Tượng Nhắm Mục Tiêu và Tác Động
Mã độc này đã được tìm thấy hoạt động bên trong cơ sở hạ tầng xương sống của viễn thông, cung cấp cho kẻ tấn công quyền truy cập liên tục, dài hạn để chặn và thao túng các liên lạc nhạy cảm. Việc hỗ trợ các giao thức gốc của viễn thông như SCTP, kết hợp với khả năng nhận biết môi trường runtime container, cho thấy công cụ này được xây dựng đặc biệt cho các mục tiêu có giá trị cao, trong hạ tầng sâu.
Mô hình hoạt động cho thấy đây là một nhóm có tổ chức đang thực hiện một chiến dịch gián điệp mạng dài hạn, hơn là một cuộc xâm nhập cơ hội nhanh chóng. Mục tiêu chính là duy trì sự hiện diện và thu thập thông tin nhạy cảm từ các hệ thống quan trọng.
Biện Pháp Phát Hiện và Phòng Ngừa BPFDoor
Để bảo vệ hệ thống khỏi BPFDoor, các đội an ninh mạng cần chủ động thực hiện các biện pháp giám sát và phòng ngừa sau:
- Giám sát việc sử dụng raw socket: Theo dõi việc sử dụng raw socket trên các endpoint Linux, vì BPFDoor lạm dụng chúng để thiết lập bộ lọc BPF và giao tiếp tàng hình.
- Kiểm tra tên tiến trình: Thường xuyên kiểm tra tên tiến trình đang chạy và đối chiếu chúng với các dịch vụ hợp pháp đã biết. Bất kỳ tiến trình nào ngụy trang dưới tên dịch vụ hệ thống như HPE Insight Management Agents nhưng có hành vi bất thường đều cần được điều tra.
- Theo dõi lưu lượng ICMP bất thường: Cảnh giác với lưu lượng ICMP không mong muốn hoặc có cấu trúc lạ bên trong mạng nội bộ. Việc sử dụng ICMP để truyền tải lệnh (ICMP relay) là một dấu hiệu mạnh mẽ của hoạt động độc hại mà các công cụ giám sát thông thường có thể bỏ qua.
Việc áp dụng các kỹ thuật giám sát sâu và phân tích hành vi mạng là rất cần thiết để phát hiện xâm nhập và đối phó hiệu quả với các mối đe dọa tiên tiến như BPFDoor.
