网络安全研究人员发现，在2024年针对韩国、香港、缅甸、马来西亚和埃及电信、金融及零售行业的网络攻击中，出现了一种与已知后门程序BPFDoor相关的新型控制器组件。

隐蔽的横向渗透能力

趋势科技研究员Fernando Mercês在本周发布的技术报告中指出："该控制器可开启反向shell，使攻击者能够实施横向移动，进一步深入被攻陷的网络，从而控制更多系统或获取敏感数据。"此次攻击活动被归因于一个代号为Earth Bluecrow（又称DecisiveArchitect、Red Dev 18和Red Menshen）的威胁组织。

长期潜伏的Linux后门

BPFDoor是一款Linux后门程序，最早于2022年曝光。公开披露前至少一年，该恶意软件已被用作针对亚洲和中东地区实体的长期间谍工具。其最显著特点是能为威胁攻击者创建持久且隐蔽的通道，实现对受感染工作站的长期控制和敏感数据访问。

该恶意软件得名于其使用的伯克利数据包过滤器（BPF，Berkeley Packet Filter）技术。该技术允许程序将网络过滤器附加到开放套接字，通过检查传入网络数据包并监测特定Magic Byte序列来触发恶意活动。

绕过防火墙的独特机制

Mercês解释道："由于BPF在目标操作系统中的实现方式，即使防火墙拦截了数据包，这种魔法数据包仍能触发后门。当数据包到达内核的BPF引擎时，就会激活驻留的后门程序。虽然这些特性在rootkit中很常见，但在后门程序中并不典型。"

趋势科技最新分析发现，受攻击的Linux服务器还感染了一个此前未记录的恶意软件控制器。该组件用于在横向移动后访问同一网络中的其他受影响主机。

密码验证与多协议支持

Mercês详细说明："在发送由BPFDoor恶意软件插入的BPF过滤器检查的'魔法数据包'之前，控制器会要求用户输入密码，该密码也将在BPFDoor端进行验证。"随后，控制器会根据提供的密码和使用的命令行选项，指示受感染机器执行以下操作之一：

• 开启反向shell
• 将新连接重定向到特定端口的shell
• 确认后门处于活动状态

值得注意的是，控制器发送的密码必须与BPFDoor样本中的硬编码值之一匹配。除支持TCP、UDP和ICMP协议控制受感染主机外，该控制器还可启用加密模式确保通信安全。

直接连接模式与防御建议

此外，控制器支持所谓的直接连接模式，使攻击者能够直接连接受感染机器并获取远程访问shell——但前提是提供正确的密码。Mercês警告称："BPF为恶意软件开发者开辟了新的可能性窗口。作为威胁研究人员，我们必须通过分析BPF代码来应对未来发展，这将帮助组织抵御基于BPF的威胁。"

参考来源：

New BPFDoor Controller Enables Stealthy Lateral Movement in Linux Server Attacks

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）