概要
Rapid7 Labs の新しい研究によると、Linux カーネルの深層部に潜む 7 つの BPFDoor 変種が、ステートレス C2(コマンド・アンド・コントロール)と ICMP リレー戦術を使用して、攻撃者が長期間アクセスを維持するための新たな手法を開発している。
変種の特徴
これらの新規 BPFDoor 変種は、Berkeley Packet Filters (BPF) を使用して OS カーネル内のトラフィックを静かに監視し、「魔法のパケット」が到着すると隠れたシェルがアクティブになる。
ステートレス C2
これらの変種の目立つ特徴は、C2 の処理方法である。従来の固定 C2 サーバーやハードコードされた IP に依存する代わりに、攻撃者は魔法パケットの送信元を C2 端点として扱うことができる。
- 「Hidden IP」(HIP)フィールドと -1 フラグを使用して、バックドアは埋め込まれた C2 アドレスを無視し、送信者にコールバックする。
これにより、攻撃者は NAT や VPN の後ろからでもアクセスすることが可能になる。
ICMP リレー
httpShell と icmpShell 変種は、ICMP を基にしたリレーを導入し、感染ホストを見えないルーターとして機能させる。
- 組織が通常許可している ping トラフィックを利用して内部セグメント間で横展開する。
これは、ICMP の深い検査を行わない組織にとって大きな脅威となる。
HTTP チューニングと「魔法のリーダー」
httpShell は HTTP トラフィック内に C2 を隠すことに焦点を当て、IPv4 および IPv6 の両方で動作する。
- GRE や GTP などの複雑なトンネルも解凍し、BPF ロジックは特定の魔法マーカーのみを見る。
「魔法のリーダー」パディングスキームにより、プロキシや WAF がヘッダーを追加または移動させても、4 バイトのトリガー値が常に同じバイトオフセットで現れる。
ICMP Shell 変種
icmpShell 変種は、高度にロックダウンされた環境向けであり、伝統的なアウトバウンドチャネルが制限されている場合でも機能する。
- ICMP リレーを使用し、動的に生成される BPF フィルタを介してインタラクティブなシェルを確立する。
これにより、静的なファイアウォール規則やシグネチャベースのトリガーが破られる。
検出と防御
Rapid7 は YARA ルールと Suricata ルールを公開し、アクティブな BPF フィルタを列挙するためのスクリプトも提供している。
- これらのルールは、既存の BPFDoor 変種と新しい変種の両方を検出するために使用される。
防御者は、異常な BPF フィルタや固有の ICMP シーケンス番号、不正な ICMP コードなど、構造的なアノマリーに注意する必要がある。