Зловред BPFDoor для Linux стало труднее обнаружить

Эксперты обнаружили обновленную версию вредоносной программы BPFDoor для Linux. Пока ни одна антивирусная программа не помечает исполняемый файл вируса как вредоносный.

Зловред BPFDoor для Linux стало труднее обнаружить. Фото: СС0

Исследователи кибербезопасности из Deep Instinct отметили, что BPFDoor, впервые обнаруженный в 2022 году, активен по крайней мере с 2017 года.

Инструмент получил свое название от использования фильтра пакетов Berkley (BPF), который он применяет для получения инструкций и обхода любых брандмауэров.

Его дизайн позволяет злоумышленникам оставаться незамеченными в скомпрометированной системе Linux в течение длительного периода времени. Ключевая функция BPFDoor позволяет злоумышленникам видеть весь сетевой трафик и находить уязвимости, а также отправлять удаленный код по нефильтрованным и разблокированным каналам.

Кроме того, BPFDoor способен смешивать вредоносный трафик с легитимным, что еще больше затрудняет обнаружение и исправление.

Учитывая, что ни один антивирус по-прежнему не помечает BPFDoor как вредоносный, единственным способом обнаружения системных администраторов является внимательный мониторинг сетевого трафика и журналов.

Они должны использовать самые современные решения для защиты конечных точек и следить за целостностью файлов в «/var/run/initd.lock». поскольку именно здесь BPFDoor создает и блокирует среду выполнения, прежде чем разветвить себя для запуска в качестве дочернего процесса.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме