Невидимый бэкдор для Linux стал опаснее: у BPFDoor нашли новые варианты

Исследователи Rapid7 сообщили о новых вариантах Linux-бэкдора BPFDoor — вредоносной программы, которая умеет скрытно ждать специальный сетевой пакет и не открывает обычный сетевой порт, по которому её можно быстро найти. В новых образцах специалисты выделили две основные ветки — httpShell и icmpShell. Обе развивают старую идею BPFDoor, но делают её заметно опаснее для защитников: канал управления стал гибче, а обнаружение — сложнее.

BPFDoor получил своё название из-за использования Berkeley Packet Filter (BPF) — механизма ядра Linux для фильтрации и анализа сетевого трафика. Проще говоря, вредонос встраивает фильтр на уровне системы и следит за входящими пакетами прямо под носом у обычных средств мониторинга. Он не держит открытый порт и не маячит наружу постоянными соединениями, поэтому стандартные проверки могут ничего не показать.

По данным Rapid7, в ходе многомесячного исследования специалисты проанализировали почти 300 образцов и обнаружили семь новых вариантов BPFDoor. Главный вывод: семейство не только всё ещё живёт и здравствует, но и развивается. Новые версии научились принимать команды через бессессионный канал управления — то есть без жёстко заданного постоянного адреса управляющего сервера. Это важное изменение: защитникам сложнее отследить инфраструктуру злоумышленников по фиксированным сетевым признакам.

Самое заметное новшество связано с так называемым stateless C2 — скрытым каналом управления без постоянной привязки к одному адресу. В описании Rapid7 говорится, что вредонос может использовать специальный флаг -1, который соответствует адресу 255.255.255.255. В таком режиме BPFDoor игнорирует заранее заданный IP и отправляет обратное соединение туда, откуда пришёл «магический» пакет — пакет-приманка, активирующий бэкдор. На практике это означает, что оператор атаки может управлять заражённой системой без постоянно засвеченного адреса управления.

Вторая важная находка — ICMP-реле, то есть использование служебного сетевого протокола ICMP, известного многим по команде ping, для пересылки команд внутри сети. Если проверка подлинности не проходит, заражённая машина может не просто молчать, а переслать специально подготовленный ICMP-запрос дальше — к другому внутреннему узлу. Для этого используется скрытое поле HIP (Hidden IP, скрытый IP-адрес). Такой механизм делает вредонос удобным для скрытого продвижения по внутренней сети и маскирует обмен под фоновый служебный трафик.

Rapid7 также отмечает различия между двумя основными новыми вариантами. httpShell работает с трафиком IPv4 и IPv6, использует HTTP-туннелирование и умеет вытаскивать скрытые команды из инкапсулированного трафика. icmpShell, напротив, рассчитан на жёстко ограниченные среды и умеет вести интерактивную сессию целиком поверх ICMP. Кроме того, этот вариант использует фильтр, привязанный к PID — идентификатору текущего процесса. Поскольку PID меняется при каждом запуске, сигнатура пробуждения тоже меняется, и статические правила фильтрации теряют эффективность.

Есть и другие признаки взросления BPFDoor. Если ранние версии часто старались жить в памяти и маскироваться как бесфайловые, то новые образцы, по данным Rapid7, могут спокойно лежать на диске и притворяться системной службой с жёстко заданным именем процесса. Исследователи отдельно упоминают маскировку под легитимные сервисы, подмену временных меток файлов и очистку файловых дескрипторов — это служебные «ручки» открытых файлов и сокетов, по которым аналитики часто находят следы вредоносной активности.

BPFDoor — не новая угроза. В базе MITRE ATT&CK этот инструмент описан как Linux-бэкдор, известный как минимум с 2021 года. Платформа также указывает, что BPFDoor поддерживает несколько протоколов связи, включая TCP, UDP и ICMP, и умеет запускать локальные и обратные оболочки, обходя сетевые ограничения. История с новыми вариантами показывает, что старая угроза не исчезла, а стала технически сложнее.

Rapid7 рекомендует обращать внимание на использование сырых сокетов в Linux, проверять процессы, которые выдают себя за штатные службы, и отдельно следить за неожиданным ICMP-трафиком внутри сети. Компания также выпустила собственный скрипт для поиска BPFDoor, который проверяет BPF-фильтры, подозрительные имена процессов, окружение, сетевые признаки и следы закрепления в системе.