Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

eBPF-руткиты Symbiote и BPFDoor: C2 по нестандартным портам

2
3 мин
В 2025 году вредоносное ПО, использующее технологии eBPF (Extended Berkeley Packet Filter), получило заметное развитие. Особенно выделяются семейства Symbiote и BPFDoor, чьи руткиты внедряют более интеллектуальные методы фильтрации для уклонения от обнаружения. Это усложняет анализ и повышает риски для инфраструктур, где используются стандартные подходы к сетевой безопасности. Архитектура набора команд eBPF упрощает выполнение определённых задач на уровне ядра, но одновременно создаёт дополнительные сложности для обратного проектирования вредоносного ПО. Хотя для работы с байт-кодом BPF доступны инструменты вроде bpftool и движка Capstone, необходимость глубокого понимания конкретной архитектуры и контекста выполнения часто препятствует эффективному анализу и точной атрибуции. Одной из ключевых тактик злоумышленников стало использование нестандартных портов для передачи команд и контрольных данных (C2). Такая стратегия эксплуатирует привычку многих систем безопасности — в первую очеред
Оглавление

В 2025 году вредоносное ПО, использующее технологии eBPF (Extended Berkeley Packet Filter), получило заметное развитие. Особенно выделяются семейства Symbiote и BPFDoor, чьи руткиты внедряют более интеллектуальные методы фильтрации для уклонения от обнаружения. Это усложняет анализ и повышает риски для инфраструктур, где используются стандартные подходы к сетевой безопасности.

Архитектура eBPF и трудности обратного проектирования

Архитектура набора команд eBPF упрощает выполнение определённых задач на уровне ядра, но одновременно создаёт дополнительные сложности для обратного проектирования вредоносного ПО. Хотя для работы с байт-кодом BPF доступны инструменты вроде bpftool и движка Capstone, необходимость глубокого понимания конкретной архитектуры и контекста выполнения часто препятствует эффективному анализу и точной атрибуции.

Механизмы обхода обнаружения и тактика C2

Одной из ключевых тактик злоумышленников стало использование нестандартных портов для передачи команд и контрольных данных (C2). Такая стратегия эксплуатирует привычку многих систем безопасности — в первую очередь базовых брандмауэров и традиционных IDS/IPS — целенаправленно отслеживать и фильтровать трафик по стандартным портам, например HTTP. В результате трафик, связанный с Symbiote, часто остаётся незамеченным: средства мониторинга регистрируют минимальную активность, а предупреждения ограничиваются уведомлениями о «неизвестном порту», которые могут быть легко отклонены как доброкачественные.

Эволюция BPFDoor: IPv6 и рост вариантов

На платформе BPF наблюдаются конкретные улучшения: в BPFDoor добавлена поддержка IPv6. В одном из проанализированных образцов фильтр BPF применялся к необработанному сокету, что указывает на расширение возможностей злоумышленников по перехвату и обработке сетевого трафика на более низком уровне.

Статистика по BPFDoor вызывает внимание: с момента появления образца в 2021 году было обнаружено 240 вариантов, из которых 150 отмечены только в 2025 году. Эти данные ставят вопрос, представляют ли найденные варианты постепенную эволюцию кода или внедряют принципиально новые функциональные возможности.

Что это значит для безопасности

  • Использование eBPF-руткитов меняет сигнатурные и поведенческие «точки зрения» традиционных средств защиты.
  • Нестандартные порты и минимальная сетевого активность снижают вероятность срабатывания базовых контролей.
  • Поддержка IPv6 и применение фильтров к необработанным сокетам указывают на переход к более сложным схемам перехвата и ретрансляции трафика.

Рекомендации

  • Расширить мониторинг сетевой телеметрии за пределы стандартных портов и протоколов, анализировать «тихие» подключения и аномалии в потоке данных.
  • Интегрировать анализ eBPF-байт-кода в процессы реагирования: использовать bpftool, Capstone и специализированные средства при исследовании подозрительных образцов.
  • Обращать внимание на сигнатуры использования необработанных сокетов и атипичные фильтры BPF, особенно при наличии IPv6-трафика.
  • Обновлять стратегии обнаружения и правила IDS/IPS с учётом поведения современных eBPF-руткитов, а также усиливать процессы проверки оповещений, которые выглядят как «неизвестный порт».

Появление всё большего числа вариантов BPFDoor и развитие методов Symbiote показывают, что злоумышленники активно используют потенциал eBPF. Это требует от специалистов по безопасности пересмотра подходов к мониторингу и анализа сетевого поведения, а также обновления инструментов и практик реагирования.

«Трафик, связанный с Symbiote, часто упускается из виду, поскольку инструменты регистрируют минимальную активность, а предупреждения ограничиваются уведомлениями о «неизвестном порту»»

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "eBPF-руткиты Symbiote и BPFDoor: C2 по нестандартным портам".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются