根据BleepingComputer的报道,BPFDoor恶意软件的运营者已经更新了他们的Linux后门,添加了静态库加密和反向Shell通信,以更有效地逃避杀毒系统的检测。Deep Instinct的报告显示,更新后的BPFDoor恶意软件已移除了硬编码命令,并且尽管已在2月份提交给VirusTotal,但仍未被任何杀毒引擎识别。
研究人员指出,BPFDoor的执行会创建并锁定一个运行时文件,然后作为子进程运行,该进程会忽略多个操作系统信号。接下来,BPFDoor会通过数据包嗅探套接字监测传入流量中的“魔法”字节序列。Deep Instinct表示:“当BPFdoor在过滤后的流量中发现包含其‘魔法’字节的数据包时,它会将其视为来自操作者的消息,并解析出两个字段,然后再次分叉。父进程将继续监控通过套接字传输的过滤流量,而子进程会将先前解析的字段视为命令与控制的IP端口组合,并尝试与之联系。”
手机加速器梯子以下是BPFDoor恶意软件的一些特征:
BPFDoor恶意软件的更新展示了攻击者在隐蔽性技术上不断演进的趋势,提醒用户和系统管理员不断提高防范意识与检测能力。
确保您的系统安全,保持更新,定期审查网络流量,以防止此类高级持久威胁。
黑洞加速器官网持续提供更新版本与客户端下载通道,确保每次连线稳定可靠。
特征描述静态库加密通过静态加密防止被检测反向Shell通信使用反向Shell与攻击者进行通信硬编码命令移除除去了简单易识别的硬编码命令通信监测过滤流量中监测“魔法”字节
