Korea Internet & Security Agency (KISA) bestätigt während der Prüfung des SKT-Hacks acht Varianten von Schadsoftware

xguru · 2025-05-04T09:16:01+09:00

Während der Reaktion auf den SKT-Sicherheitsvorfall wurden zusätzlich zu den vier bereits bekannten Varianten der auf Linux-Systeme zielenden BPFDoor-Familie acht weitere Malware-Varianten entdeckt Da es sich um Backdoors für dauerhafte Infiltration handelt und sie kaum Spuren hinterlassen, ist ein weitergehender Abfluss von Informationen möglich Neben dem zunächst bekannt gewordenen smartadm wurden auch dbus-srv, inode262394, rad und weitere identifiziert; sie verfügen über Funktionen wie Tarnung als Systemprozess, Rootkit, Installation von Backdoors und mehr Informationen zur Schadsoftware (da es sich um Varianten handelt, war eine Prüfung über Hash-Werte nicht möglich; die vermuteten Funktionen wurden anhand der Namen ermittelt) ○ dbus-srv Wird ausgeführt, indem es sich als der Systemprozess dbus-daemon tarnt Verfügt über Funktionen zum Sammeln von Systeminformationen und zum Ausführen von Remote-Befehlen Umgeht Erkennung durch Verschlüsselung und Obfuskation Wird als Backdoor vermutet und kann möglicherweise mit einem externen C2-(Command-and-Control-)Server kommunizieren ○ inode262394 Versteckt sich, indem es sich als inode-Struktur des Dateisystems tarnt Verschleiert seine Existenz über Rootkit-Funktionen und führt unter anderem System-Call-Hooking aus Versucht Systemrechte zu eskalieren und dauerhafte Zugriffsrechte zu sichern Zusätzliche Erklärung zu BPFDoor BPFDoor ist eine langfristig versteckte Linux-Backdoor-Malware mit hoher Tarnfähigkeit, die mittels passivem Netzwerk-Monitoring unter Verwendung des Berkeley Packet Filter (BPF) den Netzwerkverkehr überwacht, ohne Ports zu öffnen Aufgrund der Eigenschaften von BPF kann sie Firewalls umgehen und den Netzwerkverkehr heimlich abhören Zur Tarnung als Systemprozess wird sie über Pfade wie /usr/libexec/postfix/master ausgeführt und erscheint in Prozesslisten wie ein gewöhnlicher Dienst Sie arbeitet meist im Arbeitsspeicher und hinterlässt keine Spuren auf der Festplatte, was auch die forensische Analyse erschwert Eine leistungsfähige Variante, die 2023 auftauchte, weist unter anderem folgende Merkmale auf Verschlüsselung: zuvor RC4 → Verschlüsselung auf Basis der statisch gelinkten Bibliothek libtomcrypt Kommunikation: zuvor Bind Shell → Reverse Shell, bei der ein Kindprozess eine ausgehende Rückverbindung herstellt Befehlsverarbeitung: zuvor fest einkodierte Befehle → alle Befehle werden nun in Echtzeit empfangen Dateinamen: zuvor fest vorgegeben → werden nun dynamisch erzeugt Auch nach der Erkennung werden Kindprozess und Elternprozess getrennt, um Abwehrmaßnahmen gegen die Erkennung zu umgehen Der Quellcode ist auf GitHub öffentlich verfügbar

(boho.or.kr)

3 Punkte von xguru 2025-05-04 | 1 Kommentare | Auf WhatsApp teilen

Während der Reaktion auf den SKT-Sicherheitsvorfall wurden zusätzlich zu den vier bereits bekannten Varianten der auf Linux-Systeme zielenden BPFDoor-Familie acht weitere Malware-Varianten entdeckt
- Da es sich um Backdoors für dauerhafte Infiltration handelt und sie kaum Spuren hinterlassen, ist ein weitergehender Abfluss von Informationen möglich
Neben dem zunächst bekannt gewordenen smartadm wurden auch dbus-srv, inode262394, rad und weitere identifiziert; sie verfügen über Funktionen wie Tarnung als Systemprozess, Rootkit, Installation von Backdoors und mehr

Informationen zur Schadsoftware (da es sich um Varianten handelt, war eine Prüfung über Hash-Werte nicht möglich; die vermuteten Funktionen wurden anhand der Namen ermittelt)

○ dbus-srv

Wird ausgeführt, indem es sich als der Systemprozess dbus-daemon tarnt
Verfügt über Funktionen zum Sammeln von Systeminformationen und zum Ausführen von Remote-Befehlen
Umgeht Erkennung durch Verschlüsselung und Obfuskation
Wird als Backdoor vermutet und kann möglicherweise mit einem externen C2-(Command-and-Control-)Server kommunizieren

○ inode262394

Versteckt sich, indem es sich als inode-Struktur des Dateisystems tarnt
Verschleiert seine Existenz über Rootkit-Funktionen und führt unter anderem System-Call-Hooking aus
Versucht Systemrechte zu eskalieren und dauerhafte Zugriffsrechte zu sichern

Zusätzliche Erklärung zu BPFDoor

BPFDoor ist eine langfristig versteckte Linux-Backdoor-Malware mit hoher Tarnfähigkeit, die mittels passivem Netzwerk-Monitoring unter Verwendung des Berkeley Packet Filter (BPF) den Netzwerkverkehr überwacht, ohne Ports zu öffnen
- Aufgrund der Eigenschaften von BPF kann sie Firewalls umgehen und den Netzwerkverkehr heimlich abhören
Zur Tarnung als Systemprozess wird sie über Pfade wie /usr/libexec/postfix/master ausgeführt und erscheint in Prozesslisten wie ein gewöhnlicher Dienst
Sie arbeitet meist im Arbeitsspeicher und hinterlässt keine Spuren auf der Festplatte, was auch die forensische Analyse erschwert
Eine leistungsfähige Variante, die 2023 auftauchte, weist unter anderem folgende Merkmale auf
- Verschlüsselung: zuvor RC4 → Verschlüsselung auf Basis der statisch gelinkten Bibliothek libtomcrypt
- Kommunikation: zuvor Bind Shell → Reverse Shell, bei der ein Kindprozess eine ausgehende Rückverbindung herstellt
- Befehlsverarbeitung: zuvor fest einkodierte Befehle → alle Befehle werden nun in Echtzeit empfangen
- Dateinamen: zuvor fest vorgegeben → werden nun dynamisch erzeugt
- Auch nach der Erkennung werden Kindprozess und Elternprozess getrennt, um Abwehrmaßnahmen gegen die Erkennung zu umgehen
Der Quellcode ist auf GitHub öffentlich verfügbar

1 Kommentare

brainer 2025-05-04

Wahrscheinlich wurde am Ende doch alles kompromittiert ..