Авторы BPFDoor запустили более незаметную версию Linux-вредоноса

Авторы BPFDoor запустили более незаметную версию Linux-вредоноса

Авторы BPFDoor запустили более незаметную версию Linux-вредоноса

На ландшафте киберугроз появилась новая версия Linux-вредоноса BPFDoor, в которой авторы реализовали более стойкое шифрование и обратное соединение (Reverse shell). Задача BPFDoor — проникнуть в систему жертвы и остаться там как можно дольше.

О заточенном под Linux вредоносе BPFDoor известно уже год, хотя его активность берёт начало аж в 2017 году. В мае 2022-го мы писали, что этот зловред использует давнюю уязвимость в Solaris для получения root.

BPFDoor получил своё имя из-за использования модуля отбора пакетов Berkeley Packet Filter (BPF) для получения инструкций и обхода ограничений межсетевого экрана на входящий трафик.

До 2022 года BPFDoor использовал RC4-шифрование, а для связи — bind shell и iptables. При этом команды и имена файлов были жёстко заданы в коде вредоносной программы. В новом варианте, обнаруженном экспертами Deep Instinct, уже есть шифрование статической библиотеки и обратная связь, а все команды отправляются соответствующим сервером (C2).

 

Благодаря нововведениям операторам BPFDoor удалось обеспечить более качественную обфускацию и, как следствие, незаметную работу вредоноса. Кроме того, убрав жёстко заданные в коде команды, авторы BPFDoor помогают ему уйти от детектирования антивирусными средствами.

Как отметили в Deep Instinct, последняя на данный момент версия трояна не распознаётся ни одним антивирусным движком на VirusTotal. Пока единственный способ «поймать» зловреда — обращать внимание на излишне подвижный трафик и мониторить логи.

Selectel перевёл SelectOS на Debian 13 и подготовил ОС к сертификации ФСТЭК

Selectel представил новую версию собственной серверной операционной системы SelectOS 2.0. Обновление построено на пакетной базе Debian 13 с использованием ядра Linux 6.12.86. В компании заявляют, что в релизе переработали систему с учетом опыта эксплуатации предыдущих версий, а также требований, необходимых для сертификации во ФСТЭК России.

Одной из главных особенностей SelectOS 2.0 стала ориентация на привычную для администраторов экосистему Debian и Ubuntu. Это должно упростить переход на новую систему без изменения подходов к работе с пакетами, обновлениями и администрированием.

Разработчики также уделили внимание современному серверному оборудованию. По данным Selectel, система протестирована на совместимость с драйверами ведущих производителей графических ускорителей, поэтому ее можно использовать в инфраструктуре для задач машинного обучения и работы с ИИ-моделями.

В новой версии появился механизм управляемой цепочки поставок: пакеты распространяются через собственные репозитории с GPG-подписью, что позволяет контролировать их происхождение. Кроме того, дистрибутив ориентирован исключительно на серверное использование и не включает лишние десктопные компоненты, что сокращает потенциальную поверхность атаки.

Для специалистов по информационной безопасности предусмотрен отдельный канал получения обновлений безопасности. В компании отмечают, что это должно упростить контроль изменений и соответствие внутренним требованиям организаций.

SelectOS 2.0 доступна в нескольких вариантах: в виде ISO-образов для физических серверов и виртуальных машин, формата QCOW2 для облачных сред, а также контейнерных образов. Это позволяет использовать одну операционную систему в разных типах инфраструктуры.

Операционная система включена в Реестр российского программного обеспечения и уже доступна для использования на облачных и выделенных серверах Selectel.

RSS: Новости на портале Anti-Malware.ru