Malware ‘tàng hình’ trong kernel Linux: Bạn có chắc hệ thống mình sạch?
Tổng quan
Trong thế giới an ninh mạng hiện đại, phần lớn các cơ chế phòng thủ đều được xây dựng dựa trên một giả định quen thuộc: mọi mối đe dọa đều sẽ để lại dấu vết — một kết nối đáng ngờ, một port mở, hay ít nhất là một hành vi bất thường trong hệ thống.
Nhóm APT Red Menshen đang ngấm ngầm triển khai 7 biến thể BPFDoor hoàn toàn mới để thao túng hạ tầng lõi của các nhà mạng viễn thông. Dựa trên phân tích gần 300 mẫu mã độc mới nhất từ Rapid7, chiến dịch này đã vượt qua các lớp phòng thủ EDR truyền thống bằng cách sử dụng công nghệ Berkeley Packet Filters (BPFs) ở cấp độ Kernel, tạo ra một kiến trúc "trapdoor" tàng hình chỉ kích hoạt bằng magic packet thông qua các giao thức phi trạng thái.
Red Menshen – Nhóm APT đứng sau BPFDoor
Giới thiệu
Red Menshen là một nhóm tấn công mạng tinh vi (APT – Advanced Persistent Threat) được biết đến với việc sử dụng backdoor BPFDoor trong các chiến dịch gián điệp kéo dài nhiều năm, đặc biệt nhắm vào hạ tầng viễn thông và các hệ thống trọng yếu.
Không giống nhiều nhóm APT ồn ào khác, Red Menshen hoạt động với triết lý: “Stay invisible, stay persistent.” Hiểu một cách đơn giản tức là không gây phá hoại, không tạo noise và chỉ âm thầm duy trì quyền truy cập trong thời gian dài
Phạm vi hoạt động
Red Menshen được ghi nhận hoạt động trên phạm vi toàn cầu, với các mục tiêu chính: Telecom providers (nhà mạng), Internet infrastructure, Enterprise Linux servers, Core network systems.
Lý do mà nhóm tin tặc nhắm vào telecom chỉ đơn giản là truy cập metadata cuộc gọi, theo dõi lưu lượng người dùng và phục vụ mục tiêu gián điệp chiến lược.
Kỹ thuật tấn công nổi bật
Implant vào firmware router
Sử dụng backdoor tùy biến
Living-off-the-land
Tấn công chuỗi cung ứng (có khả năng)
Kỹ thuật chi tiết
BPFDoor đã “tiến hóa” như thế nào?
Ban đầu, BPFDoor chỉ là một dạng rootkit khá đơn giản được chạy tạm trong thư mục /dev/shm, không lưu file trên ổ đĩa và tự xóa dấu vết sau khi hoạt động. Điều này giúp nó khó bị phát hiện, nhưng cũng có điểm yếu chính là các hệ thống bảo mật hiện đại có thể phát hiện process “lạ” chạy từ memory.
Sau một thời gian nâng cấp , các biến thể mới đã thay đổi chiến lược: Lưu trực tiếp malware xuống ổ đĩa (on-disk), giả mạo tiến trình hệ thống (ví dụ: daemon quản lý server) như này sẽ khiến nó trông giống phần mềm hợp lệ và khó bị nghi ngờ. Nói đơn giản: Từ “ẩn tạm thời” chuyển sang “ẩn lâu dài và hợp pháp hóa bản thân”.
Kiến trúc điều khiển (C2)
Nhóm Red Menshen sử dụng 2 cách chính để điều khiển BPFDoor: httpShell → ẩn trong traffic web và icmpShell → ẩn trong ping (ICMP).
httpShell – Ẩn trong traffic HTTP
BPFDoor sẽ thực hiện theo dõi toàn bộ traffic mạng nhưng không ở mức ứng dụng mà ở kernel (rất sâu). Nghĩa là nó thấy packet trước cả firewall hoặc antivirus.
Trong thực tế thì Internet thực tế có nhiều lớp (tunnel) như: GRE hoặc GTP (trong mạng viễn thông). httpShell có thể: “bóc” các lớp này ngay trong kernel và nhìn thấy dữ liệu bên trong. Giống như việc mở phong bì → rồi mở tiếp phong bì bên trong → cho đến khi thấy nội dung thật.
httpShell còn một khả năng là né firewall & WAF, bình thường firewall/WAF sẽ kiểm tra vị trí dữ liệu trong packet. BPFDoor làm một trick rất thông minh chính là thêm padding (dữ liệu giả) cũng như ép đoạn nhận diện "9999" luôn nằm ở byte thứ 26. Kết quả để lại sẽ là dù packet bị thay đổi bởi proxy những malware vẫn tìm đúng “tín hiệu” để khai thác.
icmpShell – Điều khiển qua ping
Biến thể này thay vì dùng HTTP nó sẽ thực hiện ICMP (ping) để giao tiếp và tạo một shell điều khiển hai chiều, điều này thường cực kỳ nguy hiểm bởi do ICMP thường không bị chặn.
Biến thể nguy hiểm này còn sử dụng kỹ thuật “biến đổi theo PID”. Tức là mỗi lần malware chạy thì nó có một PID (Process ID) khác nhau. BPFDoor lợi dụng điều này để gắn logic vào PID sau đó làm cho “signature” của nó thay đổi theo mỗi lần chạy. Hệ quả là firewall không thể viết rule cố định để chặn.
Một điểm nữa là cách hoạt động của biến thể này cũng vô cùng thông minh, thông thường malware cần server C2 cố định (IP/domain) nhưng BPFDoor thì không. Khi attacker gửi packet, malware không cần biết trước IP mà thay vào đó nó chỉ cần đọc source IP của packet sau đó thực hiện kết nối ngược lại. Hiểu đơn giản là attacker có thể điều khiển từ bất kỳ đâu mà không cần hạ tầng cố định.
Trong trường hợp mà không thể kết nối malware biến máy bị nhiễm thành relay, gửi ICMP sang máy khác trong mạng nội bộ. Điều này còn nguy hiểm hơn giúp biến thể lan sâu hơn vào hệ thống giống như một router bí mật.
Điều gì làm BPFDoor nguy hiểm?
Hoạt động ở kernel gần như “vô hình” với antivirus.
Không cần C2 cố định chính vì thế mà không thể block bằng IP/domain.
Dùng giao thức hợp lệ nhưng bên trong lại là kênh điều khiển bí mật.
HTTP → bình thường
ICMP → bình thường
NTP → bình thường
Thay đổi liên tục với signature không cố định cũng như rất khó detect bằng rule.
Nhận định chuyên gia & kết luận
Sự dịch chuyển logic của bộ lọc BPF filter từ việc áp khởi tạo socket SOCK_RAW sang SOCK_DGRAM mang lại góc nhìn rõ nét về mục tiêu của Red Menshen. Nhóm đang chủ động tinh giản hóa quy trình bóc tách gói tin ảo, nhường việc phân rã những lớp mạng viễn thông hóc búa (như IPsec, thiết lập GRE node) cho chính kernel của server mục tiêu. Hệ thống máy chủ điều khiển viễn thông thường duy trì một network array đa tầng rất nặng nề; sự tinh chỉnh này giúp BPFDoor loại bỏ hẳn những thư viện giải mã cồng kềnh, thu hẹp dung lượng hệ số lây nhiễm và rủi ro gây crash trên tiến trình lõi của hệ thống mạng quốc gia.
Ngoài ra, việc mã độc định danh đích xác tiến trình ngụy trang theo format HPE Insight Management (cmathreshd) có lệnh -p 5 -s OK riêng biệt để thả vào phần cứng Bare-Metal của HPE ProLiant chứng tỏ chiến dịch APT này nắm rất rõ kiến trúc hạ tầng mà victim - đặc biệt là các cụm lõi truyền thông 4G/5G của Ericsson - đang vận hành.
Việc biến thể lưu vết thẳng tệp ẩn hệ thống vào directory /var/run/user/0 thay vì sử dụng tập lệnh chmod cho phép attacker tránh thao tác sửa quyền thực thi lưu vào file auditd log. Đây là một mũi khoan cực hiểm đánh sập logic phát hiện file độc hại của các nền tảng host-monitoring EDR tại Việt Nam hiện tại.
Khuyến nghị
Immediate (0-24h)
Tiến hành truy tìm trên hạ tầng mạng những kết nối gói ICMP chứa
Sequence Number = 1234và mang theo giá trịICMP Code 1không hợp lệ. Đây là các beaconing heartbeat bộc lộ điểm mù của biến thể.Kiểm tra danh sách tiến trình trên máy chủ Linux, chú trọng việc thực thi trực tiếp các process root mask như
zabbix_agentd,dockerdhoặccmathreshdkhông có ánh xạ thực tiễn tới /bin hay thư mục cài phần mềm. Khuyến khích quản trị viên vận hành ngay scriptrapid7_bpfdoor_check.shđể bắt được filter logic ghim vào các gói AF_PACKET.
Short-term (1-7 ngày)
Chặn khẩn cấp và rà soát kết nối các endpoint phân giải DNS sau:
ntpussl.instanthq.com,ntpupdate.ddnsgeek.com,ntpd.casacam.net,ntpupdate.ygto.com.Thay đổi mô hình rule detect phụ thuộc payload, áp dụng chỉ số nhận diện cấu trúc. Cập nhật rule Suricata để match byte level từ BPF backdoor như:
udp[8:2] == 0x3182 or (icmp[8:2] == 0x1051 and icmp[icmptype] == icmp-echo)
Long-term
Bổ sung các rule giám sát vào module hệ thống auditd, theo dõi chặt mọi thao tác tạo socket hệ thống dưới nhãn
AF_PACKET, cụ thể nhắm tới lệnhsetsockoptdùng để gắn chuỗi filter BPF lên kernel.Tái cấu trúc cơ chế phân quyền chạy dịch vụ bằng root trên các cụm lõi core viễn thông vật lý. Triển khai sâu hệ thống File Integrity Monitoring (FIM) để vá ngay các đường lây lan thư mục
/runtạm thời.
MITRE ATT&CK Mapping
| Tactic | Technique ID | Technique Name | Cách BPFDoor sử dụng |
|---|---|---|---|
| Execution | T1059 | Command and Scripting Interpreter | Cung cấp shell từ xa qua HTTP / ICMP |
| Persistence | T1036 | Masquerading | Giả mạo process hệ thống hợp pháp |
| Persistence | T1543 | Create or Modify System Process | Có thể tạo service để duy trì persistence |
| Defense Evasion | T1014 | Rootkit | Sử dụng BPF trong kernel để ẩn hoạt động |
| Defense Evasion | T1620 | Reflective Code Loading | Chạy fileless từ /dev/shm |
| Defense Evasion | T1027 | Obfuscated/Compressed Files and Information | Magic packet được encode, marker cố định |
| Defense Evasion | T1070 | Indicator Removal on Host | Xóa dấu vết file/process |
| Command & Control | T1071 | Application Layer Protocol | Giao tiếp qua HTTP (httpShell) |
| Command & Control | T1095 | Non-Application Layer Protocol | Tunnel qua ICMP (icmpShell) |
| Command & Control | T1094 | Custom C2 Protocol | Magic packet + Hidden IP (HIP) |
| Command & Control | T1090 | Proxy | Relay traffic qua host bị nhiễm |
| Command & Control | T1001 | Data Obfuscation | Padding + che giấu dữ liệu trong packet |
| Discovery | T1046 | Network Service Discovery | Sniff traffic thụ động qua BPF |
| Lateral Movement | T1021 | Remote Services | Pivot sang host khác qua tunnel |
| Collection | T1040 | Network Sniffing | Bắt packet trực tiếp ở kernel level |
IOCs
BPFDoor Controller
6227cb77cb4ab1d066eebf14e825dbc0a0a7f1e9 64171d46c8290c5cd88e0fbce9e23dcecbe20865 65e4d507b1de3a1e4820e4c81808fdfd7e238e10 9bb8977cd5fc7be484286be8124154ab8a608d96
BPFDoor Malware
02aebc3762e766be0ac24ef57a135398344a8f7e 04aa241c574f0a7ec93ba5d27807d8e78467f21e 16f94f0df6003f1566b2108f55e247f60a316185 1db21dbf41de5de3686195b839e74dc56d542974 28765121730d419e8656fb8d618b2068408fe5ae 291af8adf6fa078692d0bf5e0d9d00c376bb3fff 316ac8215095a24429632849407311b18a16e0cf 351febd645c66a3c9a79253d0aefcce8ff77054c 3771319be1c8883610c65977811e93b0bdaddf6f 4181bc848a1cd32911a83e02feac9b8abbd69ae2 43b4dbc71ada99a7b8a8d6d0490ba5526a34f9a0 4b1ea5e7b28eb110d8741b76d34f7dbae6f13b79 4c89beab00e3119cf516d6f98d364a5d99232181 5ddcbe4b591293f7b34fc0ef65db6248bcc67eb6 64171d46c8290c5cd88e0fbce9e23dcecbe20865 7ab39d7aad49abb0f626383ed776fe20a3b4c8f3 88075bbc34655d1fa2a750f3bbdee38214974009 8b5844fcbf6af23bc0b410fc180e7e6bdd4f35c7 8ebe1a71af1061d9e943bdff46c5ed954d8c9348 937f6068df4e091cf92d50afb3c6b7cad1de6230 9bdea37835cdb7f0b291891386af28184ac85f79 a6b66b8b7eae2969fd7237888d30766baa1b2274 be47b0c2fb328a338874f6efbe8305ddb74f6a48 c38fc109e31c9d67a1efc6cb767f826b7e46fb19 c54e214810ca7042d013845076b0360bdd7132b2 c83651d7706efa8c115f2a0edb07f863f4e79ce5 d53b7d0030a095a3ffa4b67d13de82d08adda248 d61bf187c4cd3f9953b567b3ad320b9ecde1c347 d9037e0de902e6f7b6c5f1b3269ba482f5e67c8a dc94eaa39e11f2ca7739d2cfded9eec1967f33ee dd8db29e90c6b52ee3d2723cc168cf33ee0bb521 e17ddb6515f2d399552245191f98458b68fece7b ef03b84048193a158ecf1f7033ab0cc8869dd2a5 f61589b1f86d8692964a6bd3e96ddadbe22994eb fb488cdfd2e475f0d5cbecfe11e9bab2241f9d50
Tham khảo
New Whitepaper: Stealthy BPFDoor Variants are a Needle That Looks Like Hay
China-Linked Red Menshen Uses Stealthy BPFDoor Implants to Spy via Telecom Networks
Chinese Hackers Caught Deep Within Telecom Backbone Infrastructure - SecurityWeek
BPFDoors Hidden Controller Used Against Asia, Middle East Targets | Trend Micro (US)
