ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • Research
  • 脅威分析レポート
  • 脆弱性・マルウェア分析 , インシデント分析
韓国企業を対象としたマルウェア「BPFDoor」に関する詳細分析
2025.04.30

✅ レポートタイトル:韓国企業を対象としたマルウェア「BPFDoor」に関する詳細分析


S2W脅威インテリジェンスセンター「TALON」では、最近韓国企業を対象に流布されたマルウェア「BPFDoor」に関する詳細分析レポートを公開します。


本レポートは、マルウェア「BPFDoor」の詳細な動作原理と、検知と対応のための方法をご確認頂けるレベルの高い脅威インテリジェンスレポートです。



✅ レポートの要約:


1)S2Wの脅威研究およびインテリジェンスセンター「TALON」は最近、韓国企業を対象に流布されたマルウェア「BPFDoor」を確認し、これに対する分析を行いました。


2) マルウェア「BPFDoor」は「BPF(Berkeley Packet Filter)」技術を悪用し、高度化された隠蔽性と検出回避機能を通じてLinuxシステム内の長期隠蔽を目指すマルウェアです。

- マルウェア「BPFDoor」は、リバースシェル接続とコマンドの実行をサポートするバックドアマルウェアで、TCP / UDP / ICMPプロトコルを介して非標準通信を実行します。
- 通信時にフィルターで定義されたマジックシーケンスを活用して通常のトラフィックに隠蔽し、ポート開放なしでパケット受信が可能に設計されています。


3) マルウェア「BPFDoor」は Berkeley Packet Filter (BPF) を悪用してカーネルレベルで特定のトリガーパケットのみを受信し、229件のBPF Instruction Set を使用します。

- 「BPFDoor」のバージョンによっては、Instruction Setの数とマジックシーケンスが一部異なって表示されます。
- プロセス名の偽装とデーモン化、メモリベースのレプリケーションと実行隠蔽、履歴のブロックなど、さまざまなアンチ・フォレンジック技術を適用します。


4)マルウェア「BPFDoor」は2021年にPwCによって最初に命名されたマルウェアであり、中国が支援するAPTグループ「Earth Bluecrow(Red Menshen)」による使用が確認されました。

- 現在まで、「Earth Bluecrow」以外のグループによって使用された状況は発見されておらず、通信パターンと使用されたマジックシーケンス(0x5293、0x39393939、0x7255)が一貫して現れました。
- 攻撃者は横方向の移動と長期の隠蔽のために「BPFDoor」を継続的に利用することが分析されています。


5)S2Wは、今回の侵害事故に使用された「BPFDoor」のサンプルおよび変種の検知が可能なYARAルールを別途提供します。

- BPFフィルターの検索、マジックシーケンスの検索、Salt文字列の検出、ポートの開放の確認などにより、事前感染の検知が推奨されます。
- また、Linuxサーバーの運用中に異常なソケット接続モニタリングと実行ファイルの偽造、プロセス名の改ざんの定期的なチェックが必要です。




📌 マルウェア「BPFDoor」(BPFドア)とは


「BPFDoor」は、2021年にPwCによって最初に命名され公開されたマルウェアで、BPF(Berkeley Packet Filter)技術を悪用して検出を回避し、ユーザーから直接パケットを受信できるように設計されています。


このマルウェアはTCP、UDP、ICMPなどのさまざまなプロトコルをサポートし、非標準的な方法で通信を実行して検出をより困難にします。


この高度な隠蔽性と持続性を確保することで、「BPFDoor」はLinuxシステム内で長期間の隠蔽活動を続けることができます。


特に、マルウェア「BPFDoor」のソースコードは、2022年にGitHubを通じてアップロードされました。


BPFはもともとオペレーティングシステムのカーネルレベルで動作する軽量化された仮想マシン(Virtual Machine)技術で、さまざまなフックポイントで安全にバイトコードを実行できるように設計されています。


特に、ネットワークインタフェースを介して受信したパケットに対してカーネル空間で直接フィルタリング条件を適用することで、不要なパケットがユーザ空間に転送されないようにして効率的な処理を可能にします。


これらの構造は、システムのパフォーマンスとセキュリティの両方の向上に貢献し、観測ツールやさまざまなセキュリティソリューションで広く利用されています。


ただし、これらの機能がマルウェアによって悪用されると、検出回避と隠蔽性を強化するための手段として機能する可能性があります。


具体的な分析内容は、下記リンクよりご確認いただけます。




🧑‍💻 レポート作成者: S2W 「TALON」 (2025年4月30日基準)


👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact


*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。


脅威分析レポート
脅威グループのプロファイリング:「Lazarus」
2025.04.29
前へ
ニュースハイライト
2025年4月のニュースまとめ
2025.04.30
次へ
一覧