Schnell und einfach: BPFDoor Erklärt

  • BPFDoor ist nicht neu im Spiel der Cyberangriffe – tatsächlich blieb es jahrelang unentdeckt – aber PwC-Forscher entdeckten die Malware im Jahr 2021. In der Folge erfährt die Cybersicherheits-Community immer mehr über die heimliche Natur der Malware, ihre Funktionsweise und die Möglichkeiten ihrer Abwehr.

    Was ist BPFDoor?

    BPFDoor ist eine Malware, die mit dem in China ansässigen Bedrohungsakteur Red Menshen in Verbindung gebracht wird und hauptsächlich Linux-Betriebssysteme befällt. Sie wird von Firewalls nicht erkannt und bleibt von den meisten Erkennungssystemen unbemerkt – so unbemerkt, dass sie in den letzten fünf Jahren in verschiedenen Phasen der Entwicklung und Komplexität weiterentwickelt wurde.

    Wie funktioniert es?

    BPF steht für Berkley Packet Filters, was insofern passend ist, als der Virus Paketfilter ausnutzt. BPFDoor verwendet BPF-„Sniffer“, um den gesamten Netzwerkverkehr zu sehen und Schwachstellen zu finden. Paketfilter sind Programme, die „Pakete“ (Dateien, Metadaten, Netzwerkverkehr) analysieren und sie auf der Grundlage von Quell- und Ziel-IP-Adressen, Protokollen oder Ports passieren lassen oder nicht. Einfach ausgedrückt, arbeiten Paketfilter wie eine Art Firewall, um zu verhindern, dass infizierte Malware auf Betriebssysteme gelangt.

    Wenn BPFDoor in Aktion ist, schaltet es sich vor die Firewalls, um Pakete zu empfangen, und ändert dann die lokale Firewall oder Skripte, um einem Bedrohungsakteur den Zugang zu einem Betriebssystem zu ermöglichen. Es kann funktionieren, ohne Ports zu öffnen, und kann Befehle von jeder IP-Adresse im Internet empfangen. Da die IP-Adressen von den Filtern analysiert werden, um den Zugriff auf Pakete zuzulassen oder zu verweigern, kann BPFDoor im Grunde jedes Paket zum Senden oder Empfangen zulassen. #nofilter

    Warum ist es gefährlich?

    Wie bereits erwähnt, ist diese Malware aufgrund ihrer heimlichen und versteckten Natur extrem gefährlich. Sobald BPFDoor aktiviert ist, kann Remote-Code durch den ungefilterten und unblockierten Durchgang gesendet werden. Der bösartige Datenverkehr vermischt sich mit dem legitimen Datenverkehr, so dass er von Firewalls und Sicherheitslösungen nur schwer erkannt werden kann. BPFDoor benennt sich auch selbst um, nachdem es ein System infiziert hat, um eine Umgehungstechnik anzuwenden.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjKAaE6h_vG5yDPu_73RcXYHlq-mIkadnhp-qaepIC3vD73yLVOZ6S5fwbkWxkeYH-6azuECe_3SSNo6wdYirVSB2Jgu-qAPZ-cB0ma3gTbkilmCyXgO5spp6y2431MQUuLPY6A-l9Ti1tGP1yJow8heqUsYyXkALR3p5jfUlQh7wTlMX3x4_TDzxfc/s728-e1000/hacking.png]

    Die Systeme wurden in den USA, Südkorea, Hongkong, der Türkei, Indien, Vietnam und Myanmar kompromittiert, und zu den Zielen gehörten Telekommunikations-, Regierungs-, Bildungs- und Logistikunternehmen.

    Was können wir dagegen tun?

    Damit BPFDoor gestartet werden kann, muss der Bedrohungsakteur die bösartige Binärdatei auf einen Server hochladen. Der beste Schutz besteht darin, sicherzustellen, dass die Viren- und Malware-Signaturen auf dem neuesten Stand sind, um alle potenziellen Indikatoren abzufangen, und Regeln in den Umgebungen zu erstellen, um das scheinbar Unerkennbare zu erkennen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com