Crédit : Dreamstime
Les scientifiques spécialisés dans les logiciels malveillants mettent en garde contre un programme de porte dérobée furtif qui a été utilisé par un acteur chinois du risque de mettre en péril les serveurs Linux du gouvernement fédéral et d’organisations privées du monde entier, y compris le Vietnam et le Myanmar.
Bien que la porte dérobée ne soit pas nouvelle et que des variantes aient été utilisées au cours des 5 dernières années, elle a en fait réussi à voler sous le radar et à avoir des taux de détection très faibles. L’un des facteurs de son succès est qu’il exploite une fonction appelée Berkeley Packet Filter (BPF) sur les systèmes basés sur Unix pour dissimuler le trafic destructeur.
BPFdoor a été nommé par des scientifiques de PwC Risk Intelligence qui l’associent à un Groupe chinois qu’ils appellent Red Menshen. Le groupe PwC a découvert le danger en enquêtant sur plusieurs invasions en Asie l’année dernière et a inclus un bref passage à ce sujet dans son rapport annuel sur les dangers publié à la fin du mois dernier.
Cette courte mention n’a pas attiré beaucoup d’attention jusqu’à ce que le scientifique indépendant en sécurité Kevin Beaumont partage le lien vers un échantillon de malware avec un faible taux de détection sur VirusTotal il y a quelques jours.
Cela a déclenché la vérification par le groupe PwC que ce que Beaumont a découvert était un contrôleur pour la porte dérobée passive BPFdoor. Cela a ensuite déclenché un examen plus complet par Beaumont, qui suivait également de manière indépendante le malware depuis 2015.
» J’ai balayé Internet pour BPFDoor tout au long de 2021 et j’ai découvert qu’il était installé dans des organisations du monde entier – en particulier aux États-Unis, en Corée du Sud, à Hong Kong, en Turquie, en Inde, au Vietnam et au Myanmar, et est très évasif », a déclaré Beaumont dans un article. » Ces organisations comprennent des systèmes gouvernementaux, des systèmes postaux et logistiques, des systèmes éducatifs et plus encore. «
Comment BPFdoor abuse de BPF
Alors que les scientifiques de PwC prévoient de partager Plus de détails sur la porte dérobée lors d’une conférence en juin, d’autres scientifiques, dont Beaumont, ont en fait actuellement trouvé plus d’échantillons sur VirusTotal potentiellement soumis par des victimes ou d’autres célébrations depuis de nombreuses années.
En plus des exemples, le code source d’une ancienne variante de la porte dérobée a été publié en ligne et a été analysé par la société de détection d’invasion Linux et de réponse aux événements Sandfly Security.
» La BPFDoor source est petite, ciblée et bien écrite », ont déclaré les chercheurs de Sandfly. » Alors que l’échantillon que nous avons examiné était particulier à Linux, avec quelques petites modifications, il pourrait facilement être porté sur d’autres plates-formes (un binaire Solaris existerait). BPF est largement disponible sur tous les systèmes d’exploitation et les fonctions principales du shell fonctionneraient probablement sur toutes les plates-formes avec peu modification. «
Pour être diffusé efficacement sur un système, le logiciel malveillant doit être exécuté avec les avantages root. Cela suggère que les adversaires compromettent les serveurs contaminés en utilisant d’autres techniques, éventuellement en exploitant des vulnérabilités.
Une fois effectuée, la porte dérobée effectue d’abord un certain nombre d’étapes de détection-évasion et anti-forensics. Cela inclut la copie sur le disque virtuel Linux, la modification des horodatages, la configuration pour se faire passer pour une procédure légitime travaillant sur le système et la suppression de certaines informations d’environnement pour l’exécution de processus qui pourraient être utiles aux outils d’investigation.
Selon les chercheurs de Sandfly, la porte dérobée n’a pas de système de persévérance ou d’intégration régulière, donc cela est probablement atteint par les attaquants à la main en publiant des scripts de persistance.
Comme Dès qu’elle travaille sur un système, la porte dérobée charge un filtre BPF, qui lui permet de surveiller les paquets réseau apparaissant sur le système sur diverses procédures telles que ICMP (ping), TCP et UDP. Le but de ce filtre est de se débarrasser de tous les packages et de ne traiter que ceux qui ont une valeur magique dans leur en-tête accompagné d’un mot de passe. Ces paquets sont utilisés par les attaquants pour ouvrir des shells distants sur les systèmes contaminés.
» L’importance du filtre BPF et de la capture de paquets est qu’il renifle le trafic à un niveau inférieur au pare-feu régional, » le les chercheurs ont discuté.
» Cela suggère que même si vous exécutez un programme de pare-feu, l’implant verra et agira sur tout paquet magique envoyé au système. Le pare-feu fonctionnant sur l’hôte local n’empêchera pas l’implant d’avoir cette présence. C’est un point important à comprendre. «
Ce que cela suggère en pratique, c’est que si, par exemple, le programme de pare-feu du système est configuré pour autoriser uniquement les connexions à une application Web fonctionnant sur le serveur sur le port 443 (HTTPS), par exemple, les ennemis externes peuvent l’utiliser pour envoyer un soi-disant paquet magique et déclencher la porte dérobée sans que le logiciel pare-feu ait la capacité de l’obstruer. Pour le dire simplement, il se greffe sur le trafic réseau authentique qui est actuellement activé sur le système.
Lorsque le paquet magique chiffré est obtenu, la porte dérobée ouvrira un shell racine sur un port élevé localement sur le système et utilisera le logiciel pare-feu iptables Linux pour définir une règle qui redirige tout le trafic provenant de l’adresse IP de l’agresseur vers le port shell.
Ainsi, dès que la porte dérobée est activée, si les agresseurs se connectent à nouveau au système via le port 443, ils seront plutôt accueillis avec un shell root au lieu de l’application Web. Les demandes de toutes les autres adresses IP et des utilisateurs authentiques continueront d’être traitées de manière générale et seront envoyées à l’application Web.
Plutôt que d’attendre que les agresseurs se connectent au shell, la porte dérobée peut également mettre en place un shell inversé qui renvoie activement aux attaquants, mais cela est plus rapidement découvert si le système est configuré pour bloquer les connexions sortantes.
» L’utilisation de BPF et de la capture de paquets fournit un moyen de contourner les pare-feu régionaux pour permettre à distance opposants pour contrôler l’implant », ont déclaré les scientifiques. » Enfin, la fonction de redirection est unique et vraiment dangereuse car elle peut mélanger sans effort le trafic destructeur avec le trafic authentique sur un hôte infecté avec des ports exposés sur le Web.
Comment détecter BPFdoor
Selon le rapport de PwC, le groupe Red Menshen utilise une gamme d’outils de post-exploitation pour se déplacer latéralement au sein des réseaux d’entreprise après avoir pris le contrôle de BPFdoor.
Il s’agit d’outils personnalisés -a créé des variantes des programmes de cheval de Troie Windows Mangzamel et Gh0st, ainsi que des outils open source tels que Mimikatz et Metasploit. Les agresseurs utilisent des serveurs personnels virtuels hébergés dans des entreprises populaires pour gérer les implants BPFDoor et s’appuient également sur des routeurs compromis à Taiwan pour se connecter et gérer ces serveurs.
Beaumont et le scientifique Florian Roth ont tous deux partagé des règles YARA qui peuvent être utilisées pour rechercher différents échantillons de BPFDoor dans des environnements. Les scientifiques de Sandfly Security ont également partagé des signes de compromis et de chasse méthodes dans leur analyse alertant que la simple recherche de hachages de fichiers n’est pas fiable car les binaires malveillants peuvent facilement être recompilés et modifiés sous Linux.
Il convient également de garder à l’esprit que l’abus de BPF, bien que rare, n’est pas tout neuf. En février, une société chinoise de cybersécurité appelée Pangu Laboratory a publié un rapport sur un implant de porte dérobée qu’elle a crédité à la National Security Company (NSA) des États-Unis et appelé Bvp47.
Cet implant s’est également appuyé sur BPF pour développer un canal de communication caché. Beaumont a averti à l’époque que le marché de la cybersécurité semblait ignorer l’importance et les dangers potentiels de l’utilisation de BPF et eBPF (BPF étendu) pour échapper à la détection.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
