eBPF-руткиты Symbiote и BPFDoor: C2 по нестандартным портам
В 2025 году вредоносное ПО, использующее технологии eBPF (Extended Berkeley Packet Filter), получило заметное развитие. Особенно выделяются семейства Symbiote и BPFDoor, чьи руткиты внедряют более интеллектуальные методы фильтрации для уклонения от обнаружения. Это усложняет анализ и повышает риски для инфраструктур, где используются стандартные подходы к сетевой безопасности.
Архитектура eBPF и трудности обратного проектирования
Архитектура набора команд eBPF упрощает выполнение определённых задач на уровне ядра, но одновременно создаёт дополнительные сложности для обратного проектирования вредоносного ПО. Хотя для работы с байт-кодом BPF доступны инструменты вроде bpftool и движка Capstone, необходимость глубокого понимания конкретной архитектуры и контекста выполнения часто препятствует эффективному анализу и точной атрибуции.
Механизмы обхода обнаружения и тактика C2
Одной из ключевых тактик злоумышленников стало использование нестандартных портов для передачи команд и контрольных данных (C2). Такая стратегия эксплуатирует привычку многих систем безопасности — в первую очередь базовых брандмауэров и традиционных IDS/IPS — целенаправленно отслеживать и фильтровать трафик по стандартным портам, например HTTP. В результате трафик, связанный с Symbiote, часто остаётся незамеченным: средства мониторинга регистрируют минимальную активность, а предупреждения ограничиваются уведомлениями о «неизвестном порту», которые могут быть легко отклонены как доброкачественные.
Эволюция BPFDoor: IPv6 и рост вариантов
На платформе BPF наблюдаются конкретные улучшения: в BPFDoor добавлена поддержка IPv6. В одном из проанализированных образцов фильтр BPF применялся к необработанному сокету, что указывает на расширение возможностей злоумышленников по перехвату и обработке сетевого трафика на более низком уровне.
Статистика по BPFDoor вызывает внимание: с момента появления образца в 2021 году было обнаружено 240 вариантов, из которых 150 отмечены только в 2025 году. Эти данные ставят вопрос, представляют ли найденные варианты постепенную эволюцию кода или внедряют принципиально новые функциональные возможности.
Что это значит для безопасности
- Использование eBPF-руткитов меняет сигнатурные и поведенческие «точки зрения» традиционных средств защиты.
- Нестандартные порты и минимальная сетевого активность снижают вероятность срабатывания базовых контролей.
- Поддержка IPv6 и применение фильтров к необработанным сокетам указывают на переход к более сложным схемам перехвата и ретрансляции трафика.
Рекомендации
- Расширить мониторинг сетевой телеметрии за пределы стандартных портов и протоколов, анализировать «тихие» подключения и аномалии в потоке данных.
- Интегрировать анализ eBPF-байт-кода в процессы реагирования: использовать bpftool, Capstone и специализированные средства при исследовании подозрительных образцов.
- Обращать внимание на сигнатуры использования необработанных сокетов и атипичные фильтры BPF, особенно при наличии IPv6-трафика.
- Обновлять стратегии обнаружения и правила IDS/IPS с учётом поведения современных eBPF-руткитов, а также усиливать процессы проверки оповещений, которые выглядят как «неизвестный порт».
Появление всё большего числа вариантов BPFDoor и развитие методов Symbiote показывают, что злоумышленники активно используют потенциал eBPF. Это требует от специалистов по безопасности пересмотра подходов к мониторингу и анализа сетевого поведения, а также обновления инструментов и практик реагирования.
«Трафик, связанный с Symbiote, часто упускается из виду, поскольку инструменты регистрируют минимальную активность, а предупреждения ограничиваются уведомлениями о «неизвестном порту»»
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
