Зловред BPFDoor для Linux стало труднее обнаружить
Зловред BPFDoor для Linux стало труднее обнаружить. Фото: СС0
Исследователи кибербезопасности из Deep Instinct отметили, что BPFDoor, впервые обнаруженный в 2022 году, активен по крайней мере с 2017 года.
Инструмент получил свое название от использования фильтра пакетов Berkley (BPF), который он применяет для получения инструкций и обхода любых брандмауэров.
Его дизайн позволяет злоумышленникам оставаться незамеченными в скомпрометированной системе Linux в течение длительного периода времени. Ключевая функция BPFDoor позволяет злоумышленникам видеть весь сетевой трафик и находить уязвимости, а также отправлять удаленный код по нефильтрованным и разблокированным каналам.
Кроме того, BPFDoor способен смешивать вредоносный трафик с легитимным, что еще больше затрудняет обнаружение и исправление.
Учитывая, что ни один антивирус по-прежнему не помечает BPFDoor как вредоносный, единственным способом обнаружения системных администраторов является внимательный мониторинг сетевого трафика и журналов.
Они должны использовать самые современные решения для защиты конечных точек и следить за целостностью файлов в «/var/run/initd.lock». поскольку именно здесь BPFDoor создает и блокирует среду выполнения, прежде чем разветвить себя для запуска в качестве дочернего процесса.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было