要点概述

新的 Linux 恶意软件活动: 网络安全研究人员发现了一个利用 eBPF 技术、针对全球企业和用户的活跃 Linux 恶意软件活动。

eBPF 漏洞利用: 黑客正在滥用 eBPF 的低级功能来隐藏活动、收集数据和绕过安全措施,从而使检测变得困难。

木马部署: 攻击者利用 eBPF rootkit 隐藏自己的存在,并投放远程访问木马,这些木马能够在专用网络内传输流量并保持通信。

指挥控制公共平台: 恶意软件配置不存储在专用服务器上,而是存储在 GitHub 和博客等公共平台上,将恶意活动伪装成合法活动。

正在兴起的 eBPF 恶意软件: 基于 eBPF 的恶意软件(包括 Boopkit 和 BPFDoor 等系列)的使用正在增加,仅在 2024 年就发现了 100 多个新漏洞。

网络安全研究人员 Dr. Web 发现了一个针对东南亚企业和用户的新的活跃 Linux 恶意软件活动。这一发现是在对他们的一个客户报告的恶意软件攻击进行调查时发现的。

调查开始时,一位客户向 Dr. Web 表示担心他们的计算机基础设施可能受到攻击。在对客户的数据进行分析后,Dr. Web 发现了多个类似案例,表明这是一个大规模的活跃攻击活动。尽管最初不确定攻击者是如何获得访问权限的,但研究人员成功追踪到了攻击的初始阶段。

利用 eBPF 技术

研究人员发现,黑客在攻击中一直在滥用 eBPF(扩展的伯克利数据包过滤器)技术。eBPF 的设计初衷是为了更好地控制 Linux 操作系统的网络功能。

值得注意的是,围绕 eBPF 的关注度越来越高,尤其是在 2021 年 8 月之后,谷歌、Isovalent、Meta、微软和 Netflix 等科技巨头合作在 Linux 基金会下成立了 eBPF 基金会,以支持 eBPF 技术的发展和应用。

然而,在目前的攻击中,eBPF 的低级功能使攻击者得以隐藏网络活动、收集敏感信息并绕过安全措施。这使研究人员难以发现,也为黑客提供了有利可图的机会,特别是对那些希望长期访问目标系统的高级持续威胁(APT)组织而言。

Web 博士在 12 月 10 日发布的报告中详细介绍了这一特定活动,攻击者利用 eBPF 加载了两个 rootkit。第一个 eBPF rootkit 隐藏了第二个 rootkit 的存在,而第二个 rootkit 则投放了一个远程访问木马(Trojan.Siggen28.58279 或 Trojan:Win32/Siggen.GR!MTB),该木马具有隧道流量功能,允许攻击者甚至在专用网络内与受感染设备通信。

隐藏在众目睽睽之下: 公共平台作为指挥中心

威胁者还改变了存储恶意软件配置的方式。他们不再依赖私有的指挥控制服务器,而是使用流行的、可公开访问的平台。

网络博士分析的恶意软件被发现从 GitHub 等平台甚至中国的一个网络安全博客中检索设置。这种策略使恶意流量看起来合法,因为它与正常的网络活动结合在一起。它还使攻击者无需维护独立的控制基础设施,从而更容易被发现和关闭。

Hackers Exploit Linux eBPF Tech to Host Malware on GitHub and Blogs
截图显示恶意软件托管在 GitHub 和一个网络安全中文博客上(Via Dr. Web)

然而,自 2023 年以来,恶意 eBPF 软件的使用呈上升趋势,出现了多个恶意软件家族,包括 Boopkit、BPFDoor 和 Symbiote。eBPF 技术中大量漏洞的发现使情况进一步恶化。

这次持续不断的网络攻击再次表明,政府支持的黑客和网络犯罪分子可以无所顾忌。他们的策略,包括利用 eBPF 等先进技术和使用公共平台进行配置存储,都清楚地表明了这一点。

文章原文链接:https://www.anquanke.com/post/id/302837