BPFDoor恶意软件利用Solaris漏洞获取根权限

关键要点

• BPFDoor恶意软件 主要针对电信服务提供商。
• 利用Solaris系统中的旧安全漏洞获得根权限。
• 开发者为DecisiveArchitect ，其攻击手法不断更新。
• 通过使用LD_PRELOAD 环境变量，增加了对Linux系统的攻击能力。

BPFDoor恶意软件（也称为JustForFun）主要针对电信服务提供商，利用Solaris系统中的一个历史安全漏洞来获取根权限。根据CrowdStrike的报告，这个漏洞源于Solaris操作系统的XScreenSaver组件，已经存在了三年。开发者DecisiveArchitect利用这一漏洞进行了定制的攻击。

在攻击手法方面，DecisiveArchitect被观察到使用LD_PRELOAD环境变量，这使得其手段更加隐蔽。报告指出，DecisiveArchitect的战术、技巧和程序已更新，以反映出他们利用LD_PRELOAD环境变量来促进Linux系统的攻击，并允许恶意软件在/sbin/agetty进程中加载。

CrowdStrike指出：“DecisiveArchitect在其战术中展现出高度的操作安全性，使用多种防御规避技术，使得防御者更难以识别和调查他们的活动。”报告中还详细描述了潜在的入侵指标。

相关链接

这种恶意软件的出现提示我们，安全团队需要加强对旧系统漏洞的监控和修补，以防止此类攻击的发生。