KISA ने SKT हैकिंग की पुष्टि के दौरान malware के 8 variants की पहचान की

xguru · 2025-05-04T09:16:01+09:00

SKT intrusion incident के जवाबी कार्रवाई के दौरान Linux सिस्टम को निशाना बनाने वाले BPFDoor परिवार के पहले से ज्ञात 4 malware के अलावा 8 variant malware और पाए गए यह persistent intrusion के लिए इस्तेमाल होने वाला backdoor है, जो अपने निशान नहीं छोड़ता, इसलिए अधिक जानकारी के लीक होने की आशंका है पहले चरण में ज्ञात smartadm के अलावा, dbus-srv, inode262394, rad आदि भी अतिरिक्त रूप से पहचाने गए, और इनमें system process disguise, rootkit, backdoor installation जैसी क्षमताएँ हैं malware संबंधित जानकारी (variant होने के कारण hash value से पुष्टि नहीं हुई, इसलिए नाम के आधार पर अनुमानित कार्यात्मक जानकारी) ○ dbus-srv system process dbus-daemon का रूप धारण करके चलता है system information collection और remote command execution की क्षमता रखता है encryption और obfuscation के जरिए detection से बचता है इसे backdoor माना जा रहा है, और बाहरी C2(Command-and-Control) server से communication की संभावना है ○ inode262394 file system की inode structure का रूप धारण करके छिपता है rootkit capability के जरिए अपनी मौजूदगी छिपाता है, और system call hooking आदि करता है system privilege escalation और persistent access permission हासिल करने की कोशिश करता है BPFDoor के बारे में अतिरिक्त विवरण BPFDoor एक long-term stealth Linux backdoor malware है, जो Berkeley Packet Filter (BPF) का उपयोग करने वाली passive network monitoring के जरिए port खोले बिना भी network traffic की निगरानी करने वाला उच्च स्तर का stealth attack tool है BPF की विशेषताओं के कारण यह firewall को bypass कर सकता है और network traffic को चुपचाप intercept कर सकता है system process disguise के लिए यह /usr/libexec/postfix/master जैसे path से चलाया जाता है, जिससे process list में यह सामान्य service जैसा दिखता है यह अधिकतर memory में operate करता है और disk पर निशान नहीं छोड़ता, इसलिए forensic analysis evasion में भी लाभदायक है 2023 में सामने आए शक्तिशाली variant की मुख्य विशेषताएँ इस प्रकार हैं encryption method: पहले RC4 → अब libtomcrypt static library based encryption communication method: पहले Bind Shell → अब Reverse Shell, जिसमें child process reverse connection स्थापित करता है command handling: पहले hardcoded commands → अब सभी commands real time में receive होते हैं file name: पहले fixed → अब dynamic तरीके से generate होता है detection के बाद भी child process और parent process को अलग रखकर detection response से बचता है GitHub पर source code सार्वजनिक है

(boho.or.kr)

3 पॉइंट द्वारा xguru 2025-05-04 | 1 टिप्पणियां | WhatsApp पर शेयर करें

SKT intrusion incident के जवाबी कार्रवाई के दौरान Linux सिस्टम को निशाना बनाने वाले BPFDoor परिवार के पहले से ज्ञात 4 malware के अलावा 8 variant malware और पाए गए
- यह persistent intrusion के लिए इस्तेमाल होने वाला backdoor है, जो अपने निशान नहीं छोड़ता, इसलिए अधिक जानकारी के लीक होने की आशंका है
पहले चरण में ज्ञात smartadm के अलावा, dbus-srv, inode262394, rad आदि भी अतिरिक्त रूप से पहचाने गए, और इनमें system process disguise, rootkit, backdoor installation जैसी क्षमताएँ हैं

malware संबंधित जानकारी (variant होने के कारण hash value से पुष्टि नहीं हुई, इसलिए नाम के आधार पर अनुमानित कार्यात्मक जानकारी)

○ dbus-srv

system process dbus-daemon का रूप धारण करके चलता है
system information collection और remote command execution की क्षमता रखता है
encryption और obfuscation के जरिए detection से बचता है
इसे backdoor माना जा रहा है, और बाहरी C2(Command-and-Control) server से communication की संभावना है

○ inode262394

file system की inode structure का रूप धारण करके छिपता है
rootkit capability के जरिए अपनी मौजूदगी छिपाता है, और system call hooking आदि करता है
system privilege escalation और persistent access permission हासिल करने की कोशिश करता है

BPFDoor के बारे में अतिरिक्त विवरण

BPFDoor एक long-term stealth Linux backdoor malware है, जो Berkeley Packet Filter (BPF) का उपयोग करने वाली passive network monitoring के जरिए port खोले बिना भी network traffic की निगरानी करने वाला उच्च स्तर का stealth attack tool है
- BPF की विशेषताओं के कारण यह firewall को bypass कर सकता है और network traffic को चुपचाप intercept कर सकता है
system process disguise के लिए यह /usr/libexec/postfix/master जैसे path से चलाया जाता है, जिससे process list में यह सामान्य service जैसा दिखता है
यह अधिकतर memory में operate करता है और disk पर निशान नहीं छोड़ता, इसलिए forensic analysis evasion में भी लाभदायक है
2023 में सामने आए शक्तिशाली variant की मुख्य विशेषताएँ इस प्रकार हैं
- encryption method: पहले RC4 → अब libtomcrypt static library based encryption
- communication method: पहले Bind Shell → अब Reverse Shell, जिसमें child process reverse connection स्थापित करता है
- command handling: पहले hardcoded commands → अब सभी commands real time में receive होते हैं
- file name: पहले fixed → अब dynamic तरीके से generate होता है
- detection के बाद भी child process और parent process को अलग रखकर detection response से बचता है
GitHub पर source code सार्वजनिक है

1 टिप्पणियां

brainer 2025-05-04

लगता है सच में सब कुछ लीक हो गया होगा ..